Re: lug-bg: VPN
- Subject: Re: lug-bg: VPN
- From: Denislav Ganchev <denislav.ganchev@xxxxxxxxxx>
- Date: Thu, 04 Nov 2004 11:48:15 +0200
- Organization: Bianor Ltd
Ми по принцип ми трябва клиенти да достъпнат локална мрежа зад машината,
която сервира. Но ще пробвам SSHSentinel .
On Thu, 2004-11-04 at 11:36 +0200, Georgi Ivanov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Имам още един въпрос. През този VPN даваш възможност на клиентите да
> достъпват някаква вътрешна мрежа
> или ще раздаваш интернет през него ако е второто ти препоръчвам да
> направиш VPN-a с транспортна схема по следниа начин:
> openswan(strongswan) +L2TPD
>
> openswan ipse.conf
> version 2.0
> config setup
> ~ interfaces=%defaultroute
> ~ plutodebug=all
> ~ klipsdebug=none
> ~ crlcheckinterval=600
> ~ hidetos=yes
> ~ uniqueids=no
> ~ strictcrlpolicy=yes
> ~ nat_traversal=yes
> conn %default
> ~ left=%defaultroute
> ~ compress=yes
> ~ rekey=yes
> ~ disablearrivalcheck=no
> ~ keyingtries=3
> ~ leftcert=strongsw-crt.pem
> ~ rekeymargin=30s
> ~ rekeyfuzz=100%
> ~ pfs=no
> ~ authby=rsasig
>
> conn right1
> ~ type=transport
> ~ leftprotoport=17/1701
> ~ right=%any
> ~ rightprotoport=17/%any
> ~ rightid="/C=BG/ST=Sofia/L=alabala/O=alabala/OU=alabala/CN=alabala"
> ~ esp="3des-md5-96,3des-sha1-96"
> ~ auto=add
> conn block
> ~ auto=ignore
> conn clear
> ~ auto=ignore
> conn private
> ~ auto=ignore
> conn private-or-clear
> ~ auto=ignore
> conn clear-or-private
> ~ auto=ignore
> conn packetdefault
> ~ auto=ignore
>
> Това ти е за openswan , ако ползваш през strongswan transport трябва да
> добавиш в strongswan_version/programs/pluto/Makefile DEFINES=
> - -DI_KNOW_TRANSPORT_MODE_HAS_SECURITY_CONCERN_BUT_I_WANT_IT \
> за да можеш да ползваш type=transport.
> За всеки юзер се добавя секция подобна на conn right като сменяш само
> rightid това е subject-a на изгенерирания клиентски сертификат за всеки
> клиент можеш да го видиш по следния начин
> openssl x509 -noout -subject -in path_to/user-cert.pem
>
> Конфигурацията на L2TP:
> [global]
> ~ port = 1701
> [lns default]
> ~ ip range = 192.168.7.1-192.168.7.25
> ~ local ip = 192.168.7.1
> ~ length bit = yes
> ~ require chap = yes
> ~ refuse pap = yes
> ~ require authentication = yes
> ~ name = FQDN
> ~ ppp debug = yes
> pppoptfile = /etc/ppp/options.l2tpd
>
> Пробвай тази схеам , ако те удволетворява .
> Не ползвай ipsec.exe , дървен е опитай с SSHSentinel при него имаш
> възможност да настройваш доста неща.
>
>
> - --
> Georgi Ivanov
> System Administrator
> Aii Data Processing
> IT Department
>
> http://6lyokavitza.org
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.6 (FreeBSD)
> Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
>
> iD8DBQFBifgL0dEkp0mjhDsRAtr6AJ47JOJpRe0mZedcshX02/5dhN1XkQCcCsFR
> +ojwDmPQr53E3E+DKsMC7yE=
> =lzr2
> -----END PGP SIGNATURE-----
> ============================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> ============================================================================
Attachment:
signature.asc
Description: This is a digitally signed message part
- Относно:
- lug-bg: VPN
- Изпратено от: Denislav Ganchev <denislav.ganchev@xxxxxxxxxx>
- Re: lug-bg: VPN
- Изпратено от: Georgi Ivanov <genius@xxxxxxxxxxxxxx>
- Re: lug-bg: VPN
- Изпратено от: Denislav Ganchev <denislav.ganchev@xxxxxxxxxx>
- Re: lug-bg: VPN
- Изпратено от: Georgi Ivanov <genius@xxxxxxxxxxxxxx>
|