Как настроить L2TP через IPsec с помощью Freeradius на Ubuntu

Описание L2Tp

Layer 2 tunneling protocol (L2TP) с IPsec используется для обеспечения сквозного шифрования.

Инструмент OpenSwan используется для создания туннеля IPsec, который будет скомпилирован в дистрибутиве Ubuntu.

Функция защиты аутентификации реализована с использованием FreeRadius-сервера.

Целью сервера аутентификации является аутентификация пользователей L2TP VPN.

Клиенты Android и Windows поддерживают L2TP / IPsec PSK с CHAPv2, поэтому между смартфоном и сервером будет установлен безопасный канал.

Необходимые пакеты

Следующие пакеты будут установлены с использованием скрипта openswan-l2tp-installation.sh.

Инструменты:

  • Freeradius Server/Client (source base installation)
  • xl2tpd
  • Poptop Server
  • MySQL Server/client
  • OpenSwan (source base installation)

Пакеты разработки:

  • Bison
  • Flex
  • GMP library

Содержимое скрипта показано ниже:

#!/bin/bash

##NOTE:  Adding a proper date in lastaccounting filed  to fix the invalid default value issue in /etc/freeradius/sql/mysql/cui.sql.

##-installation of tools-##
apt-get update
apt-get install -y mysql-server mysql-client freeradius-mysql pptpd xl2tpd build-essential libgmp3-dev bison flex

echo "Installing freeradius client --"
wget https://github.com/FreeRADIUS/freeradius-client/archive/master.zip
unzip master.zip
cd freeradius-client-master
./configure --prefix=/
make
make install

echo "Installation of OpenSwan "
wget https://download.openswan.org/openswan/openswan-latest.tar.gz
tar -xvzf openswan-latest.tar.gz
cd openswan-*
make programs
make install
echo " OpenSwan installed"

Введите пароль «test» для пользователя root на сервере MySql.

 

Конфигурация

Другой скрипт «openswan-l2tp-configuration.sh» используется для настройки пересылки пакетов по правилам Ubuntu, iptables для подсети xl2tpd, настройки сервера / клиента FreeRadius для механизмов аутентификации и туннеля IPsec OpenSwan.

Ниже приведены несколько скринштов скрипта конфигурации.

1. Настройка iptables & sysctl

Настройка сервера FreeRadius с использованием mysql

3. Настройка клиента FreeRadius

4. Конфигурация для служб pptpd & xl2tpd

5. Конфигурация VPN OpenSwan

Перед запуском скрипта конфигурации требуется одно изменение в файле cui.sql, который находится в /etc/freeradius/sql mysql/.

Измените выделенную строку в указанном файле sql.

`lastaccounting` timestamp NOT NULL default ‘0000-00-00 00:00:00’,

`lastaccounting` timestamp NOT NULL default ‘2016-10-01 00:00:00’,

Запустите сценарий конфигурации для автоматической настройки установленных пакетов.

Запустите сервер FreeRadius, используя следующую команду, а также перезапустите все необходимые службы.

   # freeradius -X 

<a href=»http://itsecforu.ru»><img class=»alignnone wp-image-2491″ src=»http://itsecforu.ru/wp-content/uploads/2017/09/freeradius-in-frontend-768×318-300×124.png» alt=»» width=»750″ height=»310″ /></a>

Выполните следующую команду на localhost, чтобы проверить конфигурацию сервера FreeRadius.

 # radtest test test123 localhost 0 testing123 

 # /etc/init.d/xl2tpd restart 

 #&amp;nbsp; /etc/init.d/ipsec restart

Кажется, что все необходимые службы настроены и запущены.

Теперь настройте L2TP / IPsec PSK VPN для клиентов Windows и Android.

Конфигурация клиента MS Windows 8

Нажмите «Настройка нового подключения или сети» в Центре сетей и общего доступа

установка новой опции подключения

выберите «Подключиться к рабочему месту», как показано в следующем скрине.

Введите название и интернет-адрес (IP-адрес устройства) в VPN-подключении и нажмите кнопку «Создать».

Новое VPN-соединение будет создано и показано в списке сетей, как показано ниже.

Свойства по умолчанию нового VPN-соединения не будут работать с текущей конфигурацией сервера FreeRadius.

Поэтому в настройках безопасности клиента MS Windows VPN требуется несколько изменений.

Прежде всего, измените тип VPN (L2tp по IPsec).

Нажмите «Предварительная настройка» и выберите вариант «Использовать PSK ключ для аутентификации».

Выберите опцию «Microsoft CHAP version 2» в разделе «Разрешить протоколы».

После настройки VPN-соединения L2TP / IPsec введите имя пользователя / пароль (test / test123), как показано ниже.

L2TP / IPsec VPN успешно подключен к серверу, а ip-адресу назначен адрес, как показано ниже.

Статус FreeRadius

Следующий скринпоказывает успешную аутентификацию пользователя, а тип auth — CHAP.

 

Состояние туннеля


Как показано ниже, команда состояния xfrm дает статус туннеля OpenSwan.

 # ip xfrm state 

Другая команда, предоставляемая в инструменте OpenSwan, — это «ipsec look», который дает сочетание информации о состоянии xfrm, любом правиле iptables и маршрутизации.

# ipsec look 

1. xfrm состояние

2. xfrm политика

3. Маршрутизация и  настройки  iptables

Следующая команда выдает  статус туннеля, как показано ниже.

 # <span class="">ipsec auto --status 

 

 

 

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *