Imre: /* Kasulikud lisamaterjalid */

2024-06-28T05:19:53Z

Kasulikud lisamaterjalid

@@ 367. rida: / 367. rida: @@
 * mingeid esp, ah jms protokolli pakette kasutusel ei ole, kapseldatakse kõik udp sisse
 * http://www.auul.pri.ee/wiki/L2TP/IPSec_kliendi_kasutamine_operatsioonis%C3%BCsteemiga_Windows_7#M.C3.A4rkused
 ===Kasulikud lisamaterjalid===

Imre: Uus lehekülg: '===Sissejuhatus=== L2TP/IPSec võimaldab suhelda kliendil üle turvalise kanali mingi nö keskusega. Seejuures tuleb arvestada, et L2TP/IPSec iseenesest ei paku paindlikke võimalusi õpetada kliendile ruutinguid (a la OpenVPN push route). Tavaliselt on kliendi seadistamisel selles mõttes kaks valikut * ainult seoses tunneliga kliendile omistatud ip ja selle /24 subnetiga seotud liiklus käib üle L2TP/IPSec kanali * kõik kliendi ja interneti vaheline liiklus käib üle...'

2024-01-07T16:22:35Z

Uus lehekülg: '===Sissejuhatus=== L2TP/IPSec võimaldab suhelda kliendil üle turvalise kanali mingi nö keskusega. Seejuures tuleb arvestada, et L2TP/IPSec iseenesest ei paku paindlikke võimalusi õpetada kliendile ruutinguid (a la OpenVPN push route). Tavaliselt on kliendi seadistamisel selles mõttes kaks valikut * ainult seoses tunneliga kliendile omistatud ip ja selle /24 subnetiga seotud liiklus käib üle L2TP/IPSec kanali * kõik kliendi ja interneti vaheline liiklus käib üle...'

Uus lehekülg

===Sissejuhatus===

L2TP/IPSec võimaldab suhelda kliendil üle turvalise kanali mingi nö keskusega. Seejuures tuleb arvestada, et L2TP/IPSec iseenesest ei paku paindlikke võimalusi õpetada kliendile ruutinguid (a la OpenVPN push route). Tavaliselt on kliendi seadistamisel selles mõttes kaks valikut

* ainult seoses tunneliga kliendile omistatud ip ja selle /24 subnetiga seotud liiklus käib üle L2TP/IPSec kanali
* kõik kliendi ja interneti vaheline liiklus käib üle L2TP/IPSec kanali

===Mõisted===

* IPCP - Internet Protocol Configuration Protocol

===Tööpõhimõte===

Töötava süsteemi võrguskeem võiks olla selline

priit - töökohaarvuti Linux mart - töökohaarvuti Windows 7
_____ _____
| | Openswan IPSec | | sisseehitatud IPSec/L2TP klient
| | xl2tp - 1701/udp | |
| | ppp | |
|_____| |_____|
| eth0 - 10.204.62.115 | eth0 - 10.198.206.158
| ppp0 - 192.168.27.76 | PPP adapter imool - 192.168.27.77

.... ....

internet

..

| OpenBSD tulemüür, IPSec/L2TP server
re0 - 10.204.6.67 __|__
| |
| | pppx0 - 192.168.27.75 -> .76
re1 - 192.168.27.254 |_____| pppx1 - 192.168.27.75 -> .77
mac - 10:fe:ed:04:b6:29 |
|
|
--|--------------------------|-------|----
| |
__|__ 192.168.27.0/24 __|__
| | | |
|_____| .2 |_____| .3

server 1 server 2

* pppx0, 1 jne nö ifconfig seadmed tekivad tulemüüri automaatselt
* selleks, et server 1 ja server 2 saaksid pakette saata vastu l2tp vpn klientidele, peab tulemüür tunnistama vastavad klientide ip aadressid nö enda omaks, see saavutatakse arp proxy abil

Andmevahetus toimub läbi kolme kihi

* avatud andmed liiguvad ppp liidestel (Linux ppp0, OpenBSD pppx0, Windows PPP adapter imool)
* nö l2tp formaadis andmed liiguvad serveri ja töökohtade port 1701/udp vahel
* IPSec krüptib üle avaliku võrgu liikuvaid l2tp andmeid (ehedad esp paketid või udp (port 4500) kapseldusega

===Operatsioonisüsteemi ettevalmistamine===

Asjassepuutuv pppx seade on /dev kataloogis vaikimisi olemas uuemal ajal, vanemates OpenBSD versioonides tuli öelda

# cd /dev
# ./MAKEDEV pppx

Ning seadistada pipex öeldes ning tehes vastava muudatuse ka /etc/sysctl.conf seadistusfailis

# sysctl -w net.pipex.enable=1

===IPSec osa ettevalmistamine===

See toimub nö tavalisel viisil, nt

# cat /etc/ipsec.conf
ike passive esp transport \
proto udp from 10.204.6.67 to any port 1701 \
main auth "hmac-sha1" enc "3des" group modp1024 \
quick auth "hmac-sha1" enc "aes" \
psk "saladu5parooL"

# chmod 0600 /etc/ipsec.conf

kus

* ike - kasutatakse IKE v. 1 protokolli
* transport - IPSec kasutamine toimub transport ja mitte tunnel režiimis (st krüptitakse IP paketi udp sisu ja mitte kogu ip paketti)
* proto udp ... to any port 1701 - IPSec'i rakendatakse vaid port 1701/udp pakettidele, st mis on seotud L2TP andmevahetusega
* psk - näidatakse nn psk parool, mida peab klient lisaks oma kasutajale-paroolile seadistama

===Paketifiltri ettevalmistamine===

Vaikimisi on VPN tunneli sees liiklus blokeeritud, see on oluline ka sellepärast, et kaks samaaegselt ühendatud VPN klienti ei saaks üksteise poole pöörduda

# cat /etc/pf/pf.block-all-default
..
# pppx
block in log on pppx label "ESpppx - vaikimisi"
block out log on pppx label "EVpppx - vaikimisi"
...

kus

* pppx0, pppx1 jt liidesed kuuluvad gruppi pppx
* in suund on vaikimisi blokeeritud, st vpn kasutaja ei saa saata pakette enda töökohaarvutist tulemüüri poole sisse
* out suund on vaikimisi blokeeritud, st vpn kasutajale ei saa saata pakette tulemüüri poolelt välja

VPN tunneli ja tunneli sees oleva liikluse lubamine

# cat /etc/pf/pf.include-ipsec
# isakmpd votmevahetus
pass in quick on $if_public inet proto udp from any to $if_public port 500 \
$udpopts label "JSpublic from any to isakmpd"
pass out quick on $if_public inet proto udp from $if_public to any port 500 \
$udpopts label "JVpublic from isakmpd to any udp 500"

# esp paketid
pass in quick on $if_public inet proto esp from any to $if_public label "JSpublic from any to esp"
pass out quick on $if_public inet proto esp from $if_public to any label "JVpublic from esp to any"

# udp kapseldatud esp paketid
pass in quick on $if_public inet proto udp from any to $if_public port 4500 \
$udpopts label "JSpublic from any ipsec"

pass in quick on pppx inet from { 192.168.27.76, 192.168.27.77, 192.168.27.78 } \
to 192.168.27/24 tag FROM_NPPPD
pass out quick on $if_kohtvork tagged FROM_NPPPD

kus

* 500/udp, 4500/udp ja esp pakettide src või dst ip aadress on tulemüüri enda välise võrguliidese aadress ($if_public)
* TODO: enc0 peal toimub vaikimisi skip, see ei pruugi olla hea
* näidatud 192.168.27.76-192.168.27.78 aadressidelt lubatakse tulemüüri sisse pöörduda; vastavad paketid saavad ka kohtvõrku võrku välja
* kohtvõrgust saab tõenäoliselt küll tulemüüri sisse pöörduda, aga kohtvõrgust ei saa pöörduda vpn kliendi poole kasutades tema vpn ip aadressi

===npppd serveri seadistamine===

====npppd serveri seadistamine====

Seadistusfail man npppd.conf

# cat /etc/npppd/npppd.conf
authentication LOCAL type local {
users-file "/etc/npppd/npppd-users"
}

tunnel L2TP_ipv4 protocol l2tp {
listen on 10.204.6.67
mppe no
}

ipcp IPCP {
pool-address 192.168.27.76-192.168.27.78 for dynamic
# pool-address 192.168.28.76-192.168.28.78 for dynamic
}

interface pppx0 address 192.168.27.75 ipcp IPCP
bind tunnel from L2TP_ipv4 authenticated by LOCAL to pppx0

kus

* mppe (Microsoft Point-to-Point Encryption) - nagu http://marc.info/?l=openbsd-misc&m=134863847304600&w=2 aadressil kirjeldatakse, aitab crashi vastu kasutada tunneli seadistuses rida

mppe no

vastasel korral toimub operatsioonisüsteemi krahh (vähemalt kunagi toimus)

integer divide fault trap, code=0
Stopped at rc4_keysetup+0x60: divl 0x10(%ebp),%eax
ddb>

* imelik, et bind real on interface nimeks pppx0 kuigi reaalselt võivad esineda kasutamise käigus ka pppx1 jt seadmed

====Kasutajate kirjeldamine====

Seadistusfailis man npppd-users on kirjeldatud kasutajad, nt selliselt seostatakse iga kasutajaga üks aadress, seejuures saab kasutaja samaaegselt kasutada vaid ühte VPN tunnelit

# cat /etc/npppd/npppd-users
priit:\
:password=kasutajaparool:\
:framed-ip-address=192.168.27.76:\
:framed-ip-network=255.255.255.0:

mart:\
:password=kasutajaparool:\
:framed-ip-address=192.168.27.77:\
:framed-ip-network=255.255.255.0:

Kui kasutaja soovib töötada mitmest töökohaarvutist ja igas hoida samaaegselt töös VPN tunnelit, siis tuleb seadistusfailist lihtsalt jätta ära kasutaja sektsiooni juurest kaks viimast rida (ning järelejäänud viimast rida mitte lõpetada \ märgiga). Sellisel juhul omistatakse kasutajale mõne parasjagu kasutamata aadress pool-address vahemikust. Tulemus paistab selline

# npppctl session brief
Ppp Id Assigned IPv4 Username Proto Tunnel From
---------- --------------- -------------------- ----- -------------------------
21 192.168.27.77 priit L2TP imool.auul:1701
22 192.168.27.78 priit L2TP imool.auul:1701

====ARP proxy====

Selleks, et server 1 ja server 2 saaksid pakette saata vastu l2tp vpn klientidele, peab tulemüür tunnistama vastavad klientide ip aadressid nö enda omaks, see saavutatakse arp proxy abil. Olgu tulemüüri kohtvõrgu poolse võrguseadme re1 mac aadress 10:fe:ed:04:b6:29

# ifconfig re1
re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 10:fe:ed:04:b6:29
description: traadiga kohtvork
priority: 0
media: Ethernet autoselect (1000baseT full-duplex)
status: active
inet 192.168.27.254 netmask 0xffffff00 broadcast 192.168.27.255
inet6 fe80::12fe:edff:fe04:b629%re1 prefixlen 64 scopeid 0x2

sel juhul tuleb öelda

# arp -s 192.168.27.76 10:fe:ed:04:b6:29 permanent pub
# arp -s 192.168.27.77 10:fe:ed:04:b6:29 permanent pub

ja tulemusena tekib

# arp -an | grep 10:fe:ed:04:b6:29
? (192.168.27.76) at 10:fe:ed:04:b6:29 on re1 permanent static published (proxy only)
? (192.168.27.77) at 10:fe:ed:04:b6:29 on re1 permanent static published (proxy only)

===Käivitamine===

IPSec/L2TP teenuse pakkumiseks tuleb käivitada kolm komponenti

* IPSec
* L2TP
* ppp

OpenBSD puhul realiseerib kahte viimast npppd tarkvara.

====Paketifilter====

# pfctl -f /etc/pf.conf

====IPSec====

# isakmpd -vdK
# ipsecctl -f /etc/ipsec.conf

====npppd====

# npppd -d

====Kasutamine====

Seejärel tuleb pöörudada IPSec/L2TP kliendiga ning tulemusena peaks saama nt pingida pppx0 seadmele omistatud aadressi 192.168.27.75.

Kui klient on ühendunud, tekib OpenBSD arvutisse pppx võrguseade, nt

# ifconfig pppx0
pppx0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1360
description: priit
priority: 0
inet 192.168.27.75 --> 192.168.27.76 netmask 0xffffffff

===npppd haldamine===

* Töötavate tunnelite omaduste küsimine

# npppctl session all
Ppp Id = 1
Ppp Id : 1
Username : priit
Realm Name : LOCAL
Concentrated Interface : pppx0
Assigned IPv4 Address : 192.168.27.76
Tunnel Protocol : L2TP
Tunnel From : 84-50-137-232-dsl.rkv.auul.ee:1701
Start Time : 2012/11/18 13:35:47
Elapsed Time : 1704 sec (28 minutes)
Input Bytes : 69081 (67.5 KB)
Input Packets : 654
Input Errors : 1 (0.2%)
Output Bytes : 29345 (28.7 KB)
Output Packets : 251
Output Errors : 0 (0.0%)

# npppctl session brief
Ppp Id Assigned IPv4 Username Proto Tunnel From
---------- --------------- -------------------- ----- -------------------------
1 192.168.27.76 imre L2TP 84-50-137-232-dsl.rkv.auul.ee:1701

* Tundub, et kasutajate failis muudatuse kehtestamiseks ei ole vaja midagi teha
* Seadistusfailide muudatuste kehtestamiseks sobib öelda

# /etc/rc.d/npppd reload

===Debugimine===

Töötaval juhul on erinevatel võrguseadmetel sarnane liiklus. pppx0 seadmel on avatud sisuga icmp paketid

# tcpdump -ni pppx0
tcpdump: listening on pppx0, link-type LOOP
19:52:40.957913 192.168.27.76 > 192.168.27.2: icmp: echo request (DF)
19:52:40.958615 192.168.27.3 > 192.168.27.76: icmp: echo reply
19:52:41.958743 192.168.27.76 > 192.168.27.2: icmp: echo request (DF)
19:52:41.959292 192.168.27.3 > 192.168.27.76: icmp: echo reply

enc0 seadmel on näha krüptimisele minev või krüptimiselt tulev l2tp liiklus

# tcpdump -ni enc0
tcpdump: listening on enc0, link-type ENC
19:53:19.014476 (authentic,confidential): SPI 0x0ac16260: 10.198.206.158.1701 > 10.204.6.67.1701: \
l2tp:[L](4/29985)[hdlc|][|l2tp] (DF)
19:53:19.014892 (authentic,confidential): SPI 0x30f571c6: 10.204.6.67.1701 > 10.198.206.158.1701: \
l2tp:[LS](4164/6058)Ns=49,Nr=65535[hdlc|][|l2tp]
19:53:20.015964 (authentic,confidential): SPI 0x0ac16260: 10.198.206.158.1701 > 10.204.6.67.1701: \
l2tp:[L](4/29985)[hdlc|][|l2tp] (DF)
19:53:20.016329 (authentic,confidential): SPI 0x30f571c6: 10.204.6.67.1701 > 10.198.206.158.1701: \
l2tp:[LS](4164/6058)Ns=50,Nr=65535[hdlc|][|l2tp]

re0 seadmel on näha udp kapseldusega esp paketid

# tcpdump -ni re0
tcpdump: listening on re0, link-type EN10MB
19:54:24.106424 10.198.206.158.62576 > 10.204.6.67.4500:udpencap: esp 10.198.206.158 > 10.204.6.67 \
spi 0x0ac16260 seq 332 len 148 (DF)
19:54:24.106857 10.204.6.67.4500 > 10.198.206.158.62576:udpencap: esp 10.204.6.67 > 10.198.206.158 \
spi 0x30f571c6 seq 330 len 148
19:54:24.730180 10.198.206.158.62576 > 10.204.6.67.4500:udpencap: esp 10.198.206.158 > 10.204.6.67 \
spi 0x0ac16260 seq 333 len 68 (DF)
19:54:24.730419 10.204.6.67.4500 > 10.198.206.158.62576:udpencap: esp 10.204.6.67 > 10.198.206.158 \
spi 0x30f571c6 seq 331 len 68

===IPSec töötamise kontroll===

IPSec kanal võib põhjusel või teisel vahel ära lõppeda, nt selline cron töö võib siis olla abiks kord minutis käivitada

# cat /root/bin/if-ipsec-is-running.sh
#!/bin/ksh

if ! test -f /tmp/ipsec_is_running.lock; then

touch /tmp/ipsec_is_running.lock

if ! pgrep -q isakmpd || ! pgrep -q npppd; then
pkill isakmpd; sleep 5
pkill npppd; sleep 5
ipsecctl -F; sleep 5
isakmpd -vK
ipsecctl -f /etc/ipsec.conf
sleep 5
/etc/rc.d/npppd start
fi

rm /tmp/ipsec_is_running.lock

fi

===OpenBSD IPSec teenus asub ise NAT tulemüüri taga===

Kui OpenBSD IPSec teenus asub ise NAT tulemüüri taga, siis praktiliselt kõik jääb nii nagu tekis kirjeldatud v.a.

* /etc/npppd/npppd.conf failis tuleb kasutada ip aadressina OpenBSD enda võrguliidese ip aadressi
* /etc/ipsec.conf failis tuleb kasutada OpenBSD tulemüürile vastavat avalikku ip aadressi (st mida NAT seade teisendab)

____ ____ ____
| | | | | |
| |----- internet -----| |------ sisevork -----| |
|____| |____| |____|

Win 7 klient misc nat purk OpenBSD IPSec

kus

* nat suunab OpenBSD peale 500/udp ja 4500/udp paketid
* l2tp 1703/udp paketid liiguvad ipsec kanali sees
* mingeid esp, ah jms protokolli pakette kasutusel ei ole, kapseldatakse kõik udp sisse
* http://www.auul.pri.ee/wiki/L2TP/IPSec_kliendi_kasutamine_operatsioonis%C3%BCsteemiga_Windows_7#M.C3.A4rkused

===Kasulikud lisamaterjalid===

* [[:FreeRADIUS kasutamine]]
* [[:Võrk ja andmeside]] -> L2TP/IPSec
* http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/npppd/Attic/HOWTO_PIPEX_NPPPD.txt?rev=1.8;content-type=text%2Fplain;only_with_tag=MAIN
* http://undeadly.org/cgi?action=article&sid=20120427125048
* http://marc.info/?l=openbsd-misc&m=132693652005222&w=2
* http://wiki.witopia.net/wiki/Installing_personalVPN-L2TP_on_Windows_7
* https://www.youtube.com/watch?v=iCS7X2JAEi0

L2TP/IPSec serveri kasutamine operatsioonisüsteemiga OpenBSD - Redigeerimiste ajalugu

Imre: /* Kasulikud lisamaterjalid */