VS> Hет ли у кого рецепта, как на эхотаге поднять l2tp client + IPSec? Подключаться VS> надо сюда: https://netpoint-dc.com/blog/l2tp-vpn-server-ipmi/ VS> l2tp client на mpd5 без шифрования я делать умею, вопрос как прикрутить IPSec к VS> mpd5.
Клиента я не тестировал, но клиент от сервера l2tp/ipsec в случае racoon/IKEv1 должен отличаться лишь использованием racoonctl vpn-connect/vpn-disconnect.
А сервер l2tp/ipsec в связке racoon+mpd5 у нас работает практически из коробки нынче: на ядре GENERIC и ничего не нужно патчить.
Особая прелесть этой связки (кроме чисто ядерной обработки трафика) в том, что не нужно "прикручивать IPSec к mpd5". Оба протокола работают совершенно независимо, ничего не зная друг о друге.
Скопирую сюда свой старый камент в ЖЖ (ru-root):
> Hеплохо бы сначала осознать, как на самом деле работает L2TP/IPSEC. > Сначала должно выполниться согласование IKE. Hеважно, IKEv1 или IKEv2 - > оно начинает выполняться через udp/500. > > Если HЕ разрешен NAT-T (NAT Traversal) и между клиентом и сервером нету NAT, > то они согласовывают между собой инкапсуляцию ESP (или AH, но нынче это > редкость). И далее внутри шифрованных пакетов ESP начинается передача > инкапсулированных пакетов L2TP (udp/1701), которые сами по себе > не шифрованные по дефолту и увидеть их можно только уже после расшифровки > IPSEC (для FreeBSD командой tcpdump -np -i enc0, где enc0 это > псевдо-интерфейс специально для такого мониторинга). > > Если же NAT-T разрешен, то вначале стадии клиент с сервером совместными > усилиями определяют, есть между ними NAT и если есть (а также, > если NAT-T включен принудительно), то вместо инкапсуляции в пакеты ESP > используется инкапсуляция в UDP/4500 и уже внутри этих шифрованных > пакетов UDP передаются пакеты L2TP, которые и в этом случае несут > свой заголовок udp/1701. То есть, трафик udp/1701 шифруется клиентом, > помещается в пакеты UDP/4500, которые пролазят через NAT, > на IPSEC-концентраторе они расшифровываются, из них вынимается трафик > L2TP и передаётся L2TP-серверу на его порт 1701.
Соответственно, можно поставить порт/пакет ipsec-tools, нынче у него все нужные опции включены по дефолту и готовый пакет юзабелен. И нарисовать ему конфиг racoon.conf по типу такого:
path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #log verbosity setting: set to 'notify' when testing and debugging is complete log debug2;