5 设置windows2003 ipsec/l2tp psk 的接入服务器. 及一些看到的问题.
2018-02-26 00:04
330 查看
这部分看完之后. 我又被 ipsec相关的复杂程度折磨到了. 结论还是相当痛苦的.... 不过还是先写一下可能通的设置.最后说一下感觉到的问题.
------------------------
最简单的. 没有NAT 存在只有路由的网络结构. 先写一下配置.
# cat /etc/racoon/racoon.conf
log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
listen {
adminsock disabled;
}
timer
{
natt_keepalive 10 sec;
}
remote anonymous {
exchange_mode main ;
generate_policy on;
nat_traversal off;
dpd_delay 20;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 19; #modp1024;
}
}
sainfo anonymous {
encryption_algorithm aes, blowfish, twofish, 3des, des;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}
# cat /home/responder
spdadd 192.168.125.10[l2tp] 0.0.0.0/0 udp -P out ipsec esp/transport//require;
spdadd 0.0.0.0/0 192.168.125.10[l2tp] udp -P in ipsec esp/transport//require;
# cat /home/responder |setkey -c
# cat /etc/racoon/psk.txt
* jqka12345
#racoon -F -d -v -L
------------------------
# cat /etc/xl2tpd/xl2tpd.conf
[global]
access control = no
[lns default]
ip range = 192.168.200.100-192.168.200.110
local ip = 192.168.200.10
require authentication = yes
require chap = yes
refuse pap = yes
length bit = yes
name = l2tpd
pppoptfile = /etc/ppp/xl2tpd-options
# cat /etc/ppp/xl2tpd-options
auth
nodefaultroute
proxyarp
require-chap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
require-mschap-v2
require-mschap
# xl2tpd -c /etc/xl2tpd/xl2tpd.conf -s /etc/ppp/xl2tpd-options -D
-----------------------
感觉有些没有前途. 问题还是出现在ipsec的复杂性. nat-t ,客户端使用的参数...
第一次设置最简单的. windows2003 ipsec/l2tp , 无nat-t , exchange_mode main , pre_shared_key , ph1 3des, ph2 3des,dh_group 2 .
这是可能连接通的. 其实最开始我想使用更高级的加密算法. 没能实现. 因为racoon说 加密方式和对端是对不上的. 最后用上面的参数连通了.
第二次. 想试一下 nat-t 没有连接上. 出错有点儿神奇. 先停下来继续看别的设置地.
第三次. 试了一下 windows 8.1 ipsec/l2tp, 无nat-t. 可是...在ph1时. 我得到了这几行 error
invalid DH group 20.
invalid DH group 19.
no suitable proposal found.
我当前使用的 racoon只支持到了 dh_group 18. 应该是没有办法继续.
最后我的想法.
不只是windows有不同时期的版本. 应该还要看 android, ios,mac os 的各个版本(这里先不说网络设置,因为我对这些没有了解.). ipsec中可以调整的参数也太复杂.
想支持各个操作系统是不可能的. 想想这样的接入有点儿没有前途...至少是会折磨死人.
这段看的东西有点儿受打击. 这也是 ipsec协议复杂性的一个问题.
我不是太确实,但过 nat我感觉还是不太容易.
下面我再看看 linux之间的 roadwarrior ? 迷糊地.
------------------------
最简单的. 没有NAT 存在只有路由的网络结构. 先写一下配置.
# cat /etc/racoon/racoon.conf
log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
listen {
adminsock disabled;
}
timer
{
natt_keepalive 10 sec;
}
remote anonymous {
exchange_mode main ;
generate_policy on;
nat_traversal off;
dpd_delay 20;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 19; #modp1024;
}
}
sainfo anonymous {
encryption_algorithm aes, blowfish, twofish, 3des, des;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}
# cat /home/responder
spdadd 192.168.125.10[l2tp] 0.0.0.0/0 udp -P out ipsec esp/transport//require;
spdadd 0.0.0.0/0 192.168.125.10[l2tp] udp -P in ipsec esp/transport//require;
# cat /home/responder |setkey -c
# cat /etc/racoon/psk.txt
* jqka12345
#racoon -F -d -v -L
------------------------
# cat /etc/xl2tpd/xl2tpd.conf
[global]
access control = no
[lns default]
ip range = 192.168.200.100-192.168.200.110
local ip = 192.168.200.10
require authentication = yes
require chap = yes
refuse pap = yes
length bit = yes
name = l2tpd
pppoptfile = /etc/ppp/xl2tpd-options
# cat /etc/ppp/xl2tpd-options
auth
nodefaultroute
proxyarp
require-chap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
require-mschap-v2
require-mschap
# xl2tpd -c /etc/xl2tpd/xl2tpd.conf -s /etc/ppp/xl2tpd-options -D
-----------------------
感觉有些没有前途. 问题还是出现在ipsec的复杂性. nat-t ,客户端使用的参数...
第一次设置最简单的. windows2003 ipsec/l2tp , 无nat-t , exchange_mode main , pre_shared_key , ph1 3des, ph2 3des,dh_group 2 .
这是可能连接通的. 其实最开始我想使用更高级的加密算法. 没能实现. 因为racoon说 加密方式和对端是对不上的. 最后用上面的参数连通了.
第二次. 想试一下 nat-t 没有连接上. 出错有点儿神奇. 先停下来继续看别的设置地.
第三次. 试了一下 windows 8.1 ipsec/l2tp, 无nat-t. 可是...在ph1时. 我得到了这几行 error
invalid DH group 20.
invalid DH group 19.
no suitable proposal found.
我当前使用的 racoon只支持到了 dh_group 18. 应该是没有办法继续.
最后我的想法.
不只是windows有不同时期的版本. 应该还要看 android, ios,mac os 的各个版本(这里先不说网络设置,因为我对这些没有了解.). ipsec中可以调整的参数也太复杂.
想支持各个操作系统是不可能的. 想想这样的接入有点儿没有前途...至少是会折磨死人.
这段看的东西有点儿受打击. 这也是 ipsec协议复杂性的一个问题.
我不是太确实,但过 nat我感觉还是不太容易.
下面我再看看 linux之间的 roadwarrior ? 迷糊地.
相关文章推荐
- Windows2003/xp自带防火墙和Serv-U Ftp服务器的设置问题
- 关于Flask mega-tutorial遇到的一些问题-三(Flask_mail服务器及邮箱设置)
- 连接远程服务器上的mysql会出现的问题和解决方式(账号设置等操作)
- win2003服务器asp.net权限设置问题及解决方法
- 平时看到C/C++ 结构体问题的一些知识,比较有用,分享出来
- win2003服务器asp.net权限设置问题及解决方法
- 正在进行调试的Web服务器进程已由Internet信息服务(IIS)终止。可以通过在IIS中配置应用程序池Ping设置来避免这一问题。有关更多详细信息,请参见“帮助”
- Linux下Apache服务器网页密码设置过程问题及解决方法
- 让人郁闷了好久的问题,终于解决了,之前网上也看到一些解决方法,但大多没有解决问题,所以记录下来,以供参考之用(ADO Could Not Find The Specified Provider)
- windows2003服务器防止海洋木马的安全设置【重要】
- vs2013的一些设置问题
- Android 状态栏的 颜色 的设置上的一些问题 4.4以上 ,字体颜色优化
- windows2003 PHP服务器安全设置
- Apache2.4服务器权限设置问题
- 又看到一个不错的贴,关于一些postgresql的异常问题
- 本来从动态壁纸预览页面设置一个动态壁纸回到桌面便可以看到桌面动态壁纸,可以观察得到自己的动态壁纸是否设置成功了(必须知道设置是否成功的结构,因为还有一些操作需要完成)! 但是现在是要在自己的应用中进入
- VS一些设置及编译时候的一些问题以及解决方案
- 关于plsql导入pde因为字符集设置问题报错,而研究oracle服务器字符集、客户端字符集过程中发现的问题看,以及亲测的解决办法
- eclipse 虚拟机启动参数的一些问题及设置