присоединяюсь к просьбе, как-то это дело малоосвещено !
В олеговской прошивке на wl500gP есть встроенный демон l2tpd. Никто не пробовал его настроить в режиме сервера? Требуется настроить VPN туннель для подключения удалённых Windows-машин. Аутентификация и шифрование не требуются. Может кто-нибудь помочь с конфигом?
присоединяюсь к просьбе, как-то это дело малоосвещено !
Пока что так ничего не получилось
Когда выдастся такая возможность, буду пробовать поднять l2tpd с таким вот конфигом
файл /opt/local/etc/l2tp/options.l2tpCode:[global] ; Global parameters: port = 1701 ; * Bind to port 1701 auth file = /opt/local/etc/l2tp/l2tp-secrets ; * Where our challenge secrets are access control = no ; * Refuse connections without IP match [lns] ; Our fallthrough LNS definition exclusive = yes ; * Only permit one tunnel per host ip range = 10.6.6.2-10.6.6.210 ; * Allocate from this IP range lac = 91.190.69.133 ; * These can connect as LAC's hidden bit = no ; * Use hidden AVP's? local ip = 10.6.6.1 ; * Our local IP to use length bit = yes ; * Use length bit in payload? refuse authentication = yes ; * Refuse authentication altogether ;require chap = yes ; * Require CHAP auth. by peer ;refuse pap = yes ; * Refuse PAP authentication ; refuse chap = no ; * Refuse CHAP authentication ; require authentication = yes ; * Require peer to authenticate ; unix authentication = no ; * Use /etc/passwd for auth. ; ppp debug = yes ; * Turn on PPP debugging ; pppoptfile = /etc/ppp/options ; * ppp options file pppoptfile = /opt/local/etc/l2tp/options.l2tp ; * ppp options file ; tunnel rws = 4 ; * RWS for tunnel (must be > 0) ; flow bit = yes ; * Include sequence numbers ; challenge = yes ; * Challenge authenticate peer ;
(заметка самому себе: убедиться сначала, что на файрволе открыт UDP-порт 1701)Code:noauth crtscts 460800 ms-dns 10.6.6.1 lock
Если заработает, то я обязательно здесь отпишусь
У меня вопрос: существует ли L2TP\IPSec сервер для нашего любимого WL500g (Deluxe), с прошивкой Олега?
Sorry for my bad English.
Покупайте Отечественных Слонов!!!
Ну так как ? Получилось ?
Пробую и на начальной стадии l2tpd ругается на строчки в конфиге типа таких:
auth file
ip range
итд .....
Ну очень не хочется замарачиваться с OpenVPN
Ответтье стоит ли копать в сторону pppd или l2tpd для принятия входящих тунелей ? Хочется точно знать - что нельзя - чтобы не ковыряться до посинения. а покорно пойти и ставить OpenVPN.
Добрый день, форумчане.
Кто-нибудь пробовал поднять L2TP-сервер используя встроенный в роутере RP-L2TPD? Это вообще возможно, или он работает только в клиентском режиме?
теоретически это возможно, но на практике работа rp-l2tp в режиме сервера с ядерным драйвером pppol2tp не тестировалось вообще
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
/etc/l2tp/l2tp.conf:
/tmp/ppp/cat chap-secrets:PHP Code:
# Global section (by default, we start in global mode)
global
# Load handlers
load-handler "sync-pppd.so"
load-handler "cmd.so"
# Bind address
#listen-addr 192.168.1.1
listen-port 1701
# Configure the sync-pppd handler. You MUST have a section sync-pppd line
# even if you dont set any options.
section sync-pppd
# Configure the CHAP for ppp authentication, you can also use require-pap, but avoid this.
lns-pppd-opts "require-chap 10.0.0.1:10.0.0.2 user volax name l2tpd noipdefault ipcp-accept-local ipcp-accept-remote lcp-echo-interval 30 lcp-echo-failure 6"
# lac-pppd-opts "user example name example noipdefault ipcp-accept-local ipcp-accept-remote lcp-echo-interval 30 lcp-echo-failure 6"
# Peer section
section peer
# For any peer enters the value 0.0.0.0 with mask 0, otherwise specify the static IP address of peer.
peer 0.0.0.0
mask 0
port 1701
lac-handler sync-pppd
lns-handler sync-pppd
hide-avps no
# Configure the cmd handler. You MUST have a section cmd line
# even if you dont set any options.
section cmd
/tmp/ppp/options (есть подозрение, что он не нужен в моей конфигурации):PHP Code:
# PPP CHAP secrets file.
# See pppd(1) for file format.
# Secrets for authentication using CHAP
# client server secret IP addresses
volax * "secret" *
Windows начиная с 2000 по умолчанию не поддерживает L2TP-туннели без использования IPSEC, т.к. L2TP сам по себе не поддерживает шифрования, поэтому надо добавить значение типа DWORD ProhibitIpSec = 1 в ветку реестрв HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\RasMan\Parameters и перегрузиться (См. картинку 1). При создании подключения выбирался тип подключения L2TP IPSEC VPN (См. картинку 2).PHP Code:
ipcp-accept-local
ipcp-accept-remote
ms-dns 192.168.1.1
noccp
auth
crtscts
idle 1800
mtu 1600
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
Запускаю l2tpd в foreground-режиме с детализацией отладки 127:
После пытаемся установить соединение из Windows и смотрим в консоль с запущенным l2tpd, видим там такое:Code:[root@router root]$ l2tpd -f -d 127
Соединение в Windows рвется с ошибкой 619 (См. картинку 3).Code:0.000 dgram_take_from_wire() -> type=SCCRQ, tid=0, sid=0, Nr=0, Ns=0 0.000 tunnel_new() -> 40301/0 0.000 40301/0: Peer host name is 'mskn093ts.rat.lan' 0.001 l2tp_peer_find(192.168.1.10) examining peer 0.0.0.0/0 0.001 l2tp_peer_find(192.168.1.10) found 0.0.0.0/0 0.002 tunnel(40301/1) state idle -> wait-ctl-conn 0.002 tunnel_enqueue_dgram(40301/1, SCCRP) rws=8 cwnd=1 ssthresh=8 outstanding=0 0.002 xmit_queued(40301/1): rws=8 cwnd=1 ssthresh=8 outstanding=0 0.002 dgram_send_to_wire(192.168.1.10:1701) -> type=SCCRP, tid=1, sid=0, Nr=1, Ns=0 0.003 loop in xmit_queued(40301/1): rws=8 cwnd=1 ssthresh=8 outstanding=1 0.006 dgram_take_from_wire() -> type=SCCCN, tid=40301, sid=0, Nr=1, Ns=1 0.007 tunnel_schedule_ack(40301/1) 0.007 tunnel_dequeue_acked_packets(40301/1) rws=8 cwnd=1 ssthresh=8 outstanding=0 0.008 tunnel_process_received_datagram(40301/1, SCCCN) 0.008 tunnel(40301/1) state wait-ctl-conn -> established 0.008 dgram_take_from_wire() -> type=ICRQ, tid=40301, sid=0, Nr=1, Ns=2 0.009 tunnel_schedule_ack(40301/1) 0.009 tunnel_dequeue_acked_packets(40301/1) rws=8 cwnd=2 ssthresh=8 outstanding=0 0.009 tunnel_process_received_datagram(40301/1, ICRQ) 0.009 session((40301/1, 1639/1)) state idle -> wait-connect 0.010 tunnel_enqueue_dgram(40301/1, ICRP) rws=8 cwnd=2 ssthresh=8 outstanding=0 0.010 xmit_queued(40301/1): rws=8 cwnd=2 ssthresh=8 outstanding=0 0.010 dgram_send_to_wire(192.168.1.10:1701) -> type=ICRP, tid=1, sid=1, Nr=3, Ns=1 0.012 loop in xmit_queued(40301/1): rws=8 cwnd=2 ssthresh=8 outstanding=1 0.013 dgram_take_from_wire() -> type=ZLB, tid=40301, sid=0, Nr=1, Ns=3 0.013 tunnel_dequeue_acked_packets(40301/1) rws=8 cwnd=2 ssthresh=8 outstanding=1 0.013 tunnel_process_received_datagram(40301/1, ZLB) 0.016 dgram_take_from_wire() -> type=ICCN, tid=40301, sid=1639, Nr=2, Ns=3 0.021 tunnel_schedule_ack(40301/1) 0.023 tunnel_dequeue_acked_packets(40301/1) rws=8 cwnd=2 ssthresh=8 outstanding=0 0.023 tunnel_process_received_datagram(40301/1, ICCN) 0.023 session((40301/1, 1639/1)) state wait-connect -> established 0.027 dgram_take_from_wire() -> type=ZLB, tid=40301, sid=0, Nr=2, Ns=4 0.027 tunnel_dequeue_acked_packets(40301/1) rws=8 cwnd=3 ssthresh=8 outstanding=0 0.027 tunnel_process_received_datagram(40301/1, ZLB) 0.058 session_send_CDN((40301/1, 1639/1)): pppd process exited 0.069 session((40301/1, 1639/1)) state established -> idle 0.082 tunnel_enqueue_dgram(40301/1, CDN) rws=8 cwnd=3 ssthresh=8 outstanding=0 0.082 xmit_queued(40301/1): rws=8 cwnd=3 ssthresh=8 outstanding=0 0.082 dgram_send_to_wire(192.168.1.10:1701) -> type=CDN, tid=1, sid=1, Nr=4, Ns=2 0.083 loop in xmit_queued(40301/1): rws=8 cwnd=3 ssthresh=8 outstanding=1 0.083 session_free((40301/1, 1639/1)) pppd process exited 0.084 tunnel_send_StopCCN(40301/1, 1, 0, Last session has closed) 0.084 tunnel(40301/1) state established -> sent-stop-ccn 0.084 tunnel_enqueue_dgram(40301/1, StopCCN) rws=8 cwnd=3 ssthresh=8 outstanding=1 0.085 xmit_queued(40301/1): rws=8 cwnd=3 ssthresh=8 outstanding=1 0.085 dgram_send_to_wire(192.168.1.10:1701) -> type=StopCCN, tid=1, sid=0, Nr=4, Ns=3 0.086 loop in xmit_queued(40301/1): rws=8 cwnd=3 ssthresh=8 outstanding=2 0.087 dgram_take_from_wire() -> type=ZLB, tid=40301, sid=0, Nr=3, Ns=4 0.087 tunnel_dequeue_acked_packets(40301/1) rws=8 cwnd=3 ssthresh=8 outstanding=1 0.087 tunnel_process_received_datagram(40301/1, ZLB) 0.087 dgram_take_from_wire() -> type=StopCCN, tid=40301, sid=0, Nr=3, Ns=4 0.088 tunnel_schedule_ack(40301/1) 0.088 tunnel_dequeue_acked_packets(40301/1) rws=8 cwnd=4 ssthresh=8 outstanding=1 0.088 tunnel_process_received_datagram(40301/1, StopCCN) 0.088 tunnel(40301/1) state sent-stop-ccn -> received-stop-ccn 0.089 dgram_send_to_wire(192.168.1.10:1701) -> type=ZLB, tid=1, sid=0, Nr=5, Ns=4 0.091 tunnel_schedule_destruction(40301/1) 0.091 dgram_take_from_wire() -> type=ZLB, tid=40301, sid=0, Nr=4, Ns=5 0.092 tunnel_dequeue_acked_packets(40301/1) rws=8 cwnd=4 ssthresh=8 outstanding=0 0.092 tunnel_process_received_datagram(40301/1, ZLB) 0.092 tunnel_schedule_destruction(40301/1) 31.102 tunnel_free(40301/1)
Кто-нибудь знает, что это значит и куда двигаться дальше?
Last edited by volax; 27-03-2010 at 11:50. Reason: Косметические правки
wl500gP v2, 1.9.2.7-d-r1612
И еще...
Включил debug в lns-pppd-opts и получил в сислоге следующее:
Code:Mar 27 17:10:56 pppd[1178]: Plugin pppol2tp.so loaded. Mar 27 17:10:56 pppd[1178]: tunnel_id/session_id values not specified Mar 27 17:10:56 pppd[1178]: Exit.
wl500gP v2, 1.9.2.7-d-r1612
Здравствуйте!
На Ubuntu Linux развернул ptpp-сервер.
Подскажите пожалуйста как заставить роутер
1. Поднимать к нему коннект при наличии подключения к интернету
2. Восстанавливать соединение в случае разрыва
?
Спасибо!
Здравствуйте!
Тут очень хорошая инструкция
http://www.gentoo.ru/node/421
Подскажите пожалуйста местонахождение файла, где указано на какой сервер pppd-клиент обращается чтобы установить соединение с провайдером?
Внутри прошивке от Олега есть такой демон - l2tpd. Он устанавливает подключение к провайдеру.
У меня есть L2TP-сервер в интернете, к которому я подключаюсь с помощью обычной "звонилки" в Win7. А хочется, чтобы сам роутер поднимал это соединение.
Это не интернет, а просто доступ к внутренней сети.
Сервер, куда подключаться, l2tpd узнаёт (как я понимаю) из файла /tmp/etc/l2tp/l2tp.conf.
Подскажите пожалуйста, как возможно запустить ещё одну копию l2tpd(параллельно той, что держит связь с Корбиной) указав ей другой конфиг?
Или подскажите какой конфиг у pptp-сервера должен быть и куда его закинуть?
Last edited by Omega; 02-02-2011 at 20:31. Reason: 3 post merged
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Пример (~минимальный) конфигурации для запуска на роутере l2tp сервера. Сохранение файлов во flashfs/usb flash/hdd, подстройка файрвола, и прочий тюнинг - оставляю на ваше усмотрение.
/etc/l2tp/l2tp.conf
/path/to/options.pppCode:global load-handler "sync-pppd.so" load-handler "cmd.so" section sync-pppd lns-pppd-opts "file /path/to/options.ppp" section peer peer 0.0.0.0 mask 0 lns-handler sync-pppd section cmd
/tmp/ppp/chap-secretsCode:noauth nomppe nomppc ktune default-asyncmap nopcomp noaccomp novj nobsdcomp nodeflate lcp-echo-interval 10 lcp-echo-failure 6 # vpn clients ip range and netmask 192.168.100.1:192.168.100.254 netmask 255.255.255.0 # vpn clients dns servers #ms-dns 192.168.100.1 #ms-dns 192.168.100.2 ip-up-script /path/to/ip-up ip-down-script /path/to/ip-down
/path/to/ip-upCode:#login server passwd IP addresses user1 * pass1 * user2 * pass2 *
/path/to/ip-downCode:#!/bin/sh /usr/bin/logger -t L2TP "client connected [$*]" iptables -I INPUT 1 -i $1 -j ACCEPT iptables -I FORWARD 1 -i $1 -j ACCEPT iptables -t nat -A POSTROUTING -o $1 -j MASQUERADE
/usr/local/sbin/post-firewallCode:#!/bin/sh /usr/bin/logger -t L2TP "client disconnected [$*]" iptables -D INPUT -i $1 -j ACCEPT iptables -D FORWARD -i $1 -j ACCEPT iptables -t nat -D POSTROUTING -o $1 -j MASQUERADE
/usr/local/sbin/post-bootCode:#!/bin/sh /usr/bin/logger -t L2TP "allow incoming connections [$*]" iptables -P INPUT DROP iptables -D INPUT -j DROP iptables -A INPUT -p tcp -m udp --dport 1701 -j ACCEPT
Code:#!/bin/sh /usr/bin/logger -t L2TP "start serving connections [$*]" # make sure configs above do exist l2tpd
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Не нашел здесь ответа - как поднять с роутера L2TP туннель в интернет (в какую-то корпоративную VPN) через уже имеющееся L2TP соединение с провайдером?
Где указывать настройки и главное сам L2TP сервер?
Маршрутизация на поднятый интерфейс не важна - главное чтобы роутер подрубился туда, по команде, и принимал подключения ИЗ корпоративной VPN.
Еще раз подниму вопрос про l2tp-соединение поверх имеющегося.
1. Возможно ли запустить копию l2tpd с другим конфигурационным файлом? Или сделать в имеющемся еще одну запись для другого l2tp-соединения?
2. Почему l2tp-cоединение происходит при запуске командой l2tp-contol "start-session 0.0.0.0", а при указании адреса сервера после start-session (этот же адрес в l2tp.conf) выдает ошибку "Unknown peer name"?