wlx08beac0a6c1d
私のDebian 10コンピュータには、WPAをサポートしていない古いハードウェア用のWEP APを実行するWi-Fiインターフェイスがあります。
私のデフォルトのネットワークは、192.168.1.0/24
インターフェイスはで構成されています192.168.2.1
。
まず、インターフェイスは1つのMACに制限され、そのネットワークではDHCPのみを許可します。
iptables -A INPUT -i wlx08beac0a6c1d -m mac ! --mac-source 00:30:65:05:9F:4D -j DROP
iptables -A INPUT -i wlx08beac0a6c1d -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A INPUT -i wlx08beac0a6c1d -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i wlx08beac0a6c1d -j DROP
(MACチェックも存在しますhostapd.conf
。もちろん、非効率的なセキュリティ対策でもあります(Shropshireでは非常に効果的ですが)。)
デバイスはIPSec経由のL2TPをサポートすると主張しています。私はこの目的のために別のポートを開けば、この古いコンピュータがそのポートのトンネルを介して私のネットワークの残りの部分に接続することができると思いました。接続すると、既存のコンピュータが自分のネットワークにあるように見えます。
そうですか?それとも私が間違った方向に行っているのでしょうか?今WEPネットワークでは安全ですか?
必須パッケージstrongswan
とxl2tpd
?
IPSecはWEPネットワークのトラフィックを暗号化しているようです。交渉を許可し、暗号化を有効にするには、より多くのポートを開く必要がありますか?
それでは、L2TPがDebianの他のポートに接続(PPP接続)を確立し、すべてのトラフィックをそれにルーティングするように見えますか?それでは、古いシステムにこのPPP接続用の2番目のIPアドレスがありますか? Debianではどのように表示されますか(残りのネットワークとインターネット間のルーティングは可能ですか?)
だから:まずstrongswan
...
# apt-get install strongswan
今私は本当に何をすべきかわかりません。私はここで言ったことをすべてしました。
https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on-ubuntu-18-04-2
そして結局これを得たipsec.conf
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn wep-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=192.168.2.31
leftcert=server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=192.168.2.0/24
rightdns=192.168.2.31
rightsendcert=never
eap_identity=%identity
私の考えでは左解釈すると正しいです。これ機械ですが、わからない正しいこれはおそらく一部その他もの?
その後、次のことを続けます。極細糸束しかし、私はiptables
必要だと思います。
iptables -A INPUT -i wlx08beac0a6c1d -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i wlx08beac0a6c1d -p udp --dport 4500 -j ACCEPT
IPsecへの接続を許可します。
だからトリックの次の部分はxl2tpd
…
# apt-get install xl2tpd
/etc/xl2tpd/xl2tpd.conf
[global]
ipsec saref = yes
access control = no
[lns default]
ip range = 192.168.3.100-192.168.3.254
local ip = 192.168.3.1
refuse chap = yes
refuse pap = yes
require authentication = yes
pppoptfile = /etc/ppp/xl2tpd-options
length bit = yes
/etc/ppp/xl2tpd-options
require-mschap-v2
ms-dns 192.168.3.1
次へ追加/etc/ppp/chap-secrets
そして
iptables -A INPUT -i wlx08beac0a6c1d -p udp --dport 1701 -j ACCEPT
明らかにこれはうまくいきません。
答え1
/etc/ipsec.conf
config setup
conn wep-ap
type=transport
authby=secret
pfs=no
rekey=no
keyingtries=1
left=%any
leftid=%any
right=%any
auto=add
esp=aes128-sha1-modp1536
ike=aes128-sha1-modp1536
include /var/lib/strongswan/ipsec.conf.inc
esp
ike
質問:合計の価値が何であるかをどうやって知ることができますか?ipsec.conf
見えるものとは異なる形式なので、あまり/var/log/syslog
役に立ちません。
/etc/strongswan.conf
Charon {プラグイン{ eap_dynamic {優先= eap-mschapv2、eap-tls}}}
/etc/ipsec.secrets
%any %any : PSK "password"
/etc/ppp/chap-secrets
laptop * password *
/etc/ppp/options.xl2tpd
noccp
auth
mtu 1410
mru 1410
nodefaultroute
proxyarp
silent
debug
ms-dns 192.168.3.31
/etc/xl2tpd/xl2tpd.conf
[global] ; Global parameters:
port = 1701 ; * Bind to port 1701
debug avp = yes
debug network = yes
debug packet = yes
debug state = yes
debug tunnel = yes
auth file = /etc/xl2tpc/l2tp-secrets
access control = no
[lns default] ; Our fallthrough LNS definition
ip range = 192.168.3.100-192.168.3.254 ; * But this one is okay
local ip = 192.168.3.31 ; * Our local IP to use
name = mini31 ; * Report this as our hostname
pppoptfile = /etc/ppp/options.xl2tpd
ppp debug = yes
require authentication = yes
require chap = yes
refuse pap = yes
しかし、これはまだ動作しません。 IPSecが接続されていることがわかりますが、/var/log/syslog
L2TPは失敗します。
...
xl2tpd[27668]: network_thread: select timeout with max retries: 5 for tunnel: 28160
xl2tpd[27668]: Maximum retries exceeded for tunnel 28160. Closing.
xl2tpd[27668]: Connection 4 closed to 192.168.1.11, port 1701 (Timeout)
...
答え2
Raspberry Piに再インストールして再現しましたが、うまくいきました!
結局のところ、私が見つけたのは、Raspberryにはたくさんの文書がありますが、/etc/strongswan.d/charon
Debianにはないということです。このファイルをRaspberryからDebianにコピーすると機能します。