L2TP Linux <-> Windows Client
Добрый день уважаемый форум. Не так давно столкнулся с проблемой перехода с ISA2006 на опенсурсное решение. =]
Встала необходимость реализовать сервер удаленного доступа L2TP.
Итак, имеем:
1. Gentoo x64 Openswan + xl2tpd + плагин winbind для авторизации через АД (сервер соответственно в домене, ибо samba)
2. Windows 7 в качестве клиента.
Конфиг /etc/ipsec.conf:
http://paste.org/66321
Конфиг /etc/xl2tpd/xl2tpd.conf:
http://paste.org/66322
Конфиг /etc/ppp/options.xl2tpd:
http://paste.org/66324
Если на Windows-клиенте выставлена опция Шифрование данных - "необязательное(подключаться даже без шифрования)", то все успешно работает, лог сервера:
http://paste.org/66320
Но когда включаем шифрование на клиенте (а по умолчанию оно включено) - "обязательное(отключаться, если нет шифрования)" то видим ошибку подключения:
"Ошибка 766: Не удалось найти сертификат. Подключениям которые используют этот L2TP-протокол через IPsec, требуется установка на компьютере сертификата компьютера."
Во всех мануалах используются сертификаты которые создаются на сервере (например при помощи easy-rsa), а можно ли использовать сертификаты которые требует Windows-клиент? Чтобы не раздавать их каждый раз для новой клиентской машины с сервера удаленного доступа? Как именно общаются между собой ISA2006/Windows-клиент и почему не требуется дополнительных манипуляций я не ведаю.
Спасибо.
- Для комментирования войдите или зарегистрируйтесь
Если ты в доменной структуре,
Если ты в доменной структуре, используй PKI Windows-домена (Центр сертификации), тип узла - WWW-узел.
Не грусти, товарищ! Всё хорошо, beautiful good!
ну ты загнул :) По сути -
ну ты загнул :)
По сути - правильно, по дальности - другая галактика; туда еще надо долететь
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Правильно ли я понимаю что
Правильно ли я понимаю что надо сделать:
1. Создаем сертификат клиента в центре сертификации на AD.
2. Подписываем его при помощи этого же центра. (например на года 2)
3. Закидываем сертификат CA и сертификат клиента на gentoo.
4. Закидываем сертификат клиента на виндовую машину через mmc.
5. Профит?
Если так, то все равно получается надо выдавать сертификат клиенту виндоус. А вот как раз мне хотелось бы избежать лишних телодвижений. Чтобы клиенту не нужно было ничего настраивать кроме логина пароля и айпиадреса и не важно что это за клиент и где он находится.
Связка логин/пароль соответственно доменные - прикрутить авторизацию АД дело простое.
Решил пока реализовать стандартную схему с сертификатами. В качестве СА выступает гента, которая openswan. Сертификаты создавались через openssl по мануалу от strongswan http://serverfault.com/questions/212382/how-to-set-up-strongswan-or-openswan-for-pure-ipsec-with-iphone-client с учетом перевода приватного ключа в формат PKCS1 иначе openswan ругается и не грузит его. Не забудем только что конфиг ipsec.conf от strongswan в статье никак не подойдет для openswan, его нужно переписать.
Все работает.
Но.
Выдав один и тот же клиентский сертификат вместе с сертификатом СА на несколько машин получаю ругань в логи. После того как подключилась первая машина, остальным в соединении отказано.
Как я понял сертификат необходимо выдавать на каждого клиента ? Нельзя выдать один сертификат на всех клиентов? Или я что-то упустил?
freeman
Так, вопрос глуп, автор ушел
Так, вопрос актуален автор ушел просветляться и тестировать.
freeman
Ага, по поводу PSK ключей,
Ага, по поводу PSK ключей, ситуация такая же, каждому клиенту надо выдавать свой уникальный PSK - ключ, иначе они будут выбивать друг друга с сервера.
Брр что за фигня, почему я не могу выдать один PSK на всех клиентов.
freeman
Брр что за фигня, почему я не
потому что еда ;(
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
непонятно =(
непонятно =(
freeman
rayg00n написал(а): Ага, по
Выдаю одни psk клиентам на винду и андроид. Не замечал ничего про выбивание. Хотя учетки не в домене.
а что в конфиге указано?
а что в конфиге указано? мануал откуда брался?
freeman
Забыл добавить, что у меня
Забыл добавить, что у меня net-firewall/ipsec-tools.
В нем
и он же раздается клиентам.
Клиенты сидящие за NAT'ом
Клиенты сидящие за NAT'ом работают нормально?
freeman
С одним и тем же натом
С одним и тем же натом проблема есть, подтверждаю.
Пытались решить/обойти
Пытались решить/обойти проблему?
freeman
Еще нет.
Еще нет.
Клиенты Windows XP/7.
Клиенты Windows XP/7. Используется стандартное подключение VPN, из настроек только внешний IP, логин/пароль, домен. Больше ничего, самый минимум.
Вопрос.
Что должно стоять на генте, чтобы не прописывать каждый раз туда руками ключи/сертификаты для новых пользователей?
Чем заменить ISA2006 ? Его то один раз настроил и забыл. '(
Если использовать OpenVPN, точно так же придется сертификаты выдавать или можно обойтись малой кровью?
Умаелся уже.
freeman
Чем заменить ISA2006 ? Его то
Forefront gateway ;) но есть ньюанс
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
НЕ вариант. 9 сентября 2012
НЕ вариант. 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG
К тому же решение платное.
freeman
НЕ вариант. 9 сентября 2012
a это и есть ньюанс
сказал чел, нахваливающий ISA :))))))))
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
НЕ вариант. 9 сентября 2012
a это и есть ньюанс
сказал чел, нахваливающий ISA :))))))))
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Конкретно в данном случае ISA
Конкретно в данном случае ISA работает и выполняет свою задачу, хочется того же самого и от линуксов. :)
freeman
Ситуация с выбиванием
Ситуация с выбиванием клиентов проясняется. Если клиенты сидят за одним и тем же NAT'ом их выбивает, работает только один из них, подключившийся последним.
Внимание Вопрос: Как это исправить?
freeman
Отвечаю сам же на свой
Отвечаю сам же на свой вопрос. Необходимо включить поддержку KLIPS и Saref в ядро. Но в ядре нет ничего что было бы с этим связано.
freeman
Плюнул на сертификаты,
Плюнул на сертификаты, перешел на ppp+pptpd с авторизацией в АД. Времени разбираться с патчами нет. Всем спасибо.
freeman