Debian 10のIPSec経由のL2TP

Debian 10のIPSec経由のL2TP

wlx08beac0a6c1d私のDebian 10コンピュータには、WPAをサポートしていない古いハードウェア用のWEP APを実行するWi-Fiインターフェイスがあります。

私のデフォルトのネットワークは、192.168.1.0/24インターフェイスはで構成されています192.168.2.1

まず、インターフェイスは1つのMACに制限され、そのネットワークではDHCPのみを許可します。

iptables -A INPUT -i wlx08beac0a6c1d -m mac ! --mac-source 00:30:65:05:9F:4D -j DROP
iptables -A INPUT -i wlx08beac0a6c1d -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A INPUT -i wlx08beac0a6c1d -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i wlx08beac0a6c1d -j DROP

(MACチェックも存在しますhostapd.conf。もちろん、非効率的なセキュリティ対策でもあります(Shropshireでは非常に効果的ですが)。)

デバイスはIPSec経由のL2TPをサポートすると主張しています。私はこの目的のために別のポートを開けば、この古いコンピュータがそのポートのトンネルを介して私のネットワークの残りの部分に接続することができると思いました。接続すると、既存のコンピュータが自分のネットワークにあるように見えます。

そうですか?それとも私が間違った方向に行っているのでしょうか?今WEPネットワークでは安全ですか?

必須パッケージstrongswanxl2tpd

IPSecはWEPネットワークのトラフィックを暗号化しているようです。交渉を許可し、暗号化を有効にするには、より多くのポートを開く必要がありますか?

それでは、L2TPがDebianの他のポートに接続(PPP接続)を確立し、すべてのトラフィックをそれにルーティングするように見えますか?それでは、古いシステムにこのPPP接続用の2番目のIPアドレスがありますか? Debianではどのように表示されますか(残りのネットワークとインターネット間のルーティングは可能ですか?)

だから:まずstrongswan...

# apt-get install strongswan

今私は本当に何をすべきかわかりません。私はここで言ったことをすべてしました。 https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on-ubuntu-18-04-2 そして結局これを得たipsec.conf

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn wep-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=192.168.2.31
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=192.168.2.0/24
    rightdns=192.168.2.31
    rightsendcert=never
    eap_identity=%identity

私の考えでは解釈すると正しいです。これ機械ですが、わからない正しいこれはおそらく一部その他もの?

その後、次のことを続けます。極細糸束しかし、私はiptables必要だと思います。

iptables -A INPUT -i wlx08beac0a6c1d -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i wlx08beac0a6c1d -p udp --dport 4500 -j ACCEPT

IPsecへの接続を許可します。

だからトリックの次の部分はxl2tpd

# apt-get install xl2tpd

/etc/xl2tpd/xl2tpd.conf

[global]
ipsec saref = yes
access control = no

[lns default]
ip range = 192.168.3.100-192.168.3.254
local ip = 192.168.3.1
refuse chap = yes
refuse pap = yes
require authentication = yes
pppoptfile = /etc/ppp/xl2tpd-options
length bit = yes

/etc/ppp/xl2tpd-options

require-mschap-v2
ms-dns 192.168.3.1

次へ追加/etc/ppp/chap-secrets

そして

iptables -A INPUT -i wlx08beac0a6c1d -p udp --dport 1701 -j ACCEPT

明らかにこれはうまくいきません。

答え1

/etc/ipsec.conf

config setup

conn wep-ap
        type=transport
        authby=secret
        pfs=no
        rekey=no
        keyingtries=1
        left=%any
        leftid=%any
        right=%any
        auto=add
        esp=aes128-sha1-modp1536
        ike=aes128-sha1-modp1536
        include /var/lib/strongswan/ipsec.conf.inc

espike質問:合計の価値が何であるかをどうやって知ることができますか?ipsec.conf見えるものとは異なる形式なので、あまり/var/log/syslog役に立ちません。

/etc/strongswan.conf

Charon {プラグイン{ eap_dynamic {優先= eap-mschapv2、eap-tls}}}

/etc/ipsec.secrets

%any %any : PSK "password"

/etc/ppp/chap-secrets

laptop  *       password *

/etc/ppp/options.xl2tpd

noccp
auth
mtu 1410
mru 1410
nodefaultroute
proxyarp
silent
debug
ms-dns 192.168.3.31

/etc/xl2tpd/xl2tpd.conf

[global]                                                                ; Global parameters:
port = 1701                                                     ; * Bind to port 1701
debug avp = yes
debug network = yes
debug packet = yes
debug state = yes
debug tunnel = yes
auth file = /etc/xl2tpc/l2tp-secrets
access control = no
[lns default]                                                   ; Our fallthrough LNS definition
ip range = 192.168.3.100-192.168.3.254                          ; * But this one is okay
local ip = 192.168.3.31                         ; * Our local IP to use
name = mini31                                           ; * Report this as our hostname
pppoptfile = /etc/ppp/options.xl2tpd
ppp debug = yes
require authentication = yes
require chap = yes
refuse pap = yes

しかし、これはまだ動作しません。 IPSecが接続されていることがわかりますが、/var/log/syslogL2TPは失敗します。

...
xl2tpd[27668]: network_thread: select timeout with max retries: 5 for tunnel: 28160
xl2tpd[27668]: Maximum retries exceeded for tunnel 28160.  Closing.
xl2tpd[27668]: Connection 4 closed to 192.168.1.11, port 1701 (Timeout)
...

答え2

Raspberry Piに再インストールして再現しましたが、うまくいきました!

結局のところ、私が見つけたのは、Raspberryにはたくさんの文書がありますが、/etc/strongswan.d/charonDebianにはないということです。このファイルをRaspberryからDebianにコピーすると機能します。

関連情報