Налаштування L2TP сервера

У цій лабораторній роботі використовується L2TP сервер - l2tpd (l2tpd.sourceforge.net) [2].

1. Спочатку необхідно перевірити чи встановлений пакет l2tp:

l2tpd - v.

Якщо не отримана відповідь (версія програми), то необхідно встановити пакет l2tp.

За нормальну роботу сервера відповідає декілька конфігураційних файлів, розпочнемо з конфігурації l2tpd демона.

Перейдіть в директорію /etc/l2tpd і скопіюйте оригінальний файл l2tpd.conf у файл з ім'ям l2tpd.conf.orig, відредагуйте його як показано нижче

[global] #глобальна конфігурація

port = 1701 #порт сервера

auth file = /etc/l2tpd/l2tp - secrets # файл авторизації типу хост < -> хост

access control = no # обмеження на доступ тільки з певних хостів

rand source = dev

[lns hostname] # ім'я нашого сервера, використовується просте

# ім'я вашого хоста

exclusive = no # при параметрі yes дозволено використовувати один тунель з одного хоста.

ip range = 192.168.1.200-192.168.1.230 #пул адрес, видаваних клієнтам

lac = 192.168.1.150 - 192.168.1.180 #тут пишемо, яким адресам можна використовувати наш сервер

hidden bit = no

local ip = 192.168.0.122 #внутрішнія ip адреса нашого сервера

length bit = yes

require chap = yes #вимагати авторизацію CHAP

refuse pap = yes #вимагати авторизацію PAP

refuse authentication = no

require authentication = no# цей параметр вказує, чи включена

# авторизація типу хост < -> хост

name = hostname # тут пишіть ім'я вашого хоста

ppp debug = yes # для відладки на перших порах

pppoptfile = /etc/ppp/options.l2tpd # опції для pppd

flow bit = yes

Далі відредагуємо файл опцій для pppd, він у нас лежить тут: /etc/ppp/options.l2tpd

mtu 1410 # максимальне значення довжини пакета передавання

mru 1410 # максимальне значення довжини пакета на прийомі

lcp-echo-interval 3

lcp-echo-failure 8

nodeflate

noproxyarp

lock

І нарешті впишемо логін і пароль для одного з клієнтів у файл /etc/ppp/chap-secrets

# Username server password ip - address

s111 * 123 *

На цьому налаштування сервера закінчене, перезапустіть демона /etc/init.d/l2tpd restart або зупиніть процес l2tpd і запустите сервер l2tpd. Переходимо до налаштування клієнта.

2.2. L2TP клієнт для Windows XP/2003 (вбудований в ОС)

Рисунок 2 – Створення підключення клієнта L2TP в ОС Windows XP/2003

Для того, щоб з ОС Windows можливо було підключатися до сервера LTP в ній має бути присутнім Microsoft VPN Adapter. Розглянемо приклад підключення OC Windows XP, в ній цей драйвер встановлений за замовчуванням. Для створення VPN підключення необхідно виконати наступні кроки:

1. Пуск-> Панель управління-> Мережні підключення-> Створення нового підключення.

2. Буде запущений майстер створення підключення.

3. На другому кроці вибрати «Підключити до мережі на робочому місці».

4. На наступному кроці «Підключення до віртуальної приватної мережі».

5. Далі вказати назву підключення «ltp».

6. Далі «Не набирати номер для попереднього підключення».

7. Далі вказати IP адреси запущеного LTP сервера (192.168.0.122).

8. Готово.

У налаштуваннях можливо замість автоматичного детектування типу VPN вказати вручну – L2TP IPSec VPN.

2.3. Налаштування L2TP - клієнта для Linux

Додаткове завдання.

L2TP клієнт запускається за допомогою пакета xl2tpd. Спочатку необхідно перевірити, чи встановлений пакет xl2tp:

xl2tpd -v.

Якщо не отримана відповідь (версія програми), то необхідно встановити пакет xl2tp.

1. $ sudo apt - get install xl2tpd

2. Редагуємо файл /etc/xl2tpd/xl2tpd.conf:

$ sudo gedit /etc/xl2tpd/xl2tpd.conf

Необхідно прописати в нього наступні параметри, якщо відсутні:

[global]

access control = yes

[lac ]

lns = 192.168.0.122

redial = yes

redial timeout = 1

require chap = yes

require authentication = no

name =< s111>

ppp debug = yes

pppoptfile = /etc/ppp/options.xl2tpd

require pap = no

autodial = yes

де < s111> - ваше ім'я користувача в chap-secrets.

3. Редагуємо /etc/ppp/options.xl2tpd:

$ sudo gedit /etc/ppp/options.xl2tpd

Прописуємо в нього:

unit 0

name < s111>

remotename l2tp

ipparam 192.168.0.122

connect /bin/true

mru 1460

mtu 1460

nodeflate

nobsdcomp

persist

maxfail 0

nopcomp

noaccomp

defaultroute

replacedefaultroute

4. У /etc/ppp/chap-secrets додаємо рядок (якщо його ще там немає):

s111 * 123 *

5. Вносимо зміни в /etc/init.d/xl2tpd:

$ sudo gedit /etc/init.d/xl2tpd

Необхідно поміняти секцію start таким чином:

start)

if! ([ - f /var/run/xl2tpd/l2tp - control ]); then

mkdir - p /var/run/xl2tpd

touch /var/run/xl2tpd/l2tp - control

fi

echo - n " Starting $DESC: "

start - stop - daemon --start --quiet --pidfile /var/run/$NAME.pid \

--exec $DAEMON -- $DAEMON_OPTS

echo " $NAME".

2.4. Захоплення пакетів з допомогою Tcpdump

Простий приклад запуску Tcpdump c перенаправленням даних у файл lab10.txt:

tcpdump - i eth0 - n - nn - ttt > lab10.txt

3. Ключові питання

1) Що таке IPSec ESP і для чого застосовується?

2) Які протоколи шифрування даних можливі в l2tp і в pptp?

3) У чому відмінність шифрування в l2tp та pptp?

4) Що означає параметр lns = 192.168.0.122 в налаштуваннях в l2tp?

5) Що означає параметр ppp debug = yes?

6) Для чого застосовується заголовок AH у IPSec?

7) Що таке mtu та mru?

8) Якщо mtu та mru будуть мати значення 1512 бітів, що трапиться?

4. Домашнє завдання

1. Вивчити типи формування L2TP тунелю. Основні можливості тунелю L2TP.

2. Визначити, які основні алгоритми авторизації та шифрування застосовується у L2TP протоколі.

3. З’ясувати, які основні програмні продукти будуть застосовуватися у лабораторній роботі.

4. Відповісти на ключові питання.