= Сообщение: 9520 из 10753 ===================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 12 Dec 19 03:04:10 Кому : All 12 Dec 19 03:04:10 Тема : Re: l2tp client FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+4eb69fed На : area://RU.UNIX.BSD?msgid=grosbein.net+a9bed3b8 = Кодировка сообщения определена как: IBM866 ================================= ============================================================================== 11 дек. 2019, среда, в 21:44 NOVT, Eugene Grosbein написал(а):
EG> И нарисовать ему конфиг racoon.conf по типу такого: EG> path pre_shared_key "/usr/local/etc/racoon/psk.txt"; EG> #log verbosity setting: set to 'notify' when testing and debugging is complete EG> log debug2; EG> listen EG> { EG> isakmp X.X.X.X [500]; EG> isakmp_natt X.X.X.X [4500]; EG> } EG> remote "server" EG> { EG> ph1id 0; EG> exchange_mode aggressive; EG> doi ipsec_doi; EG> situation identity_only; EG> my_identifier fqdn "my.hostname.net"; EG> verify_identifier on;
Забыл уточнить, что пример конфига я взял со своего L2TP/IPSec-сервера почти без изменений и его наверняка нужно подкорректировать. Hапример, verify_identifier on нужен, если пир присылает свой ID в виде FQDN и авторизуется у нас парой FQDN/PSK из нашего psk.txt, а в случае клиентского конфига наверняка надо будет поставить verify_identifier off. И, в зависимости от требований удалённого IPSec-концентратора, может быть поменять my_identifier.
EG> passive on;
И вероятно, поставить passive off (это дефолт, можно просто закомментить).