[freebsd] mpd5-сервер не устанавливается pptp соедин??ние

[Eugene Grosbein]

01.08.2019 17:08, Eugene Grosbein пишет:
> 01.08.2019 4:39, Владимир Друзенко пишет:
>> 31.07.2019 21:55, Eugene Grosbein пишет:
>>> 01.08.2019 0:35, Alexander Sheiko пишет:
>>>> В письме от Срд, 31 Июл 2019, 20:12 Yaroslav Shvets пишет:
>>>>
>>>>> Не выйдет. Сервер - виртуалка.
>>>> Как вариант - настройте L2TP без IPSEC (отключается в реестре в винде,
>>>> будет шифрование RC4, как в PPTP).
>>> Нынче можно и с IPSEC, начиная с 11.1-RELEASE всё пашет из коробки, включая NAT-T.
>> Не поделитесь конфигами клиента при неизвестном на той стороне сервере (может и венда?)?
>> security/strongswan, security/ipsec-tools или достаточно того, что есть в базовой системе?
> 
> Вообще клиенты, подключающиеся к моим L2TP/IPSEC-концентраторам под FreeBSD
> это всяческие Windows, MacOS/X, андроиды и iOS. IKE-клиентов под FreeBSD у меня нет,
> но в базовой системе совершенно точно нет IKE-агента (демона), так что нужен
> либо racoon из ipsec-tools, либо stronswan.
> 
> Я имел дело только с racoon и клиент там настраивается почти так же,
> как сервер, только вместо sainfo anonymous там надо оформлять sainfo
> с полными local_id и remote_id, как сказано в man racoon.conf
> 
> Плюс надо помнить, что в такой позе установление сессии агентом IKE может выполняться
> двумя способами: либо по факту прохождения любого пакета, для которого описаны SPD -
> хотя бы статически в /etc/ipsec.conf через spdadd, но при этом не найдены ключи SA;
> либо командой racoonctl vpn-connect.

Да, и бывают сложные конфигурации, когда помогает использование в racoon.conf
в секции remote:

script "/usr/local/etc/racoon/phase1" phase1_up;

Скрипт запускается после окончания согласования первой фазы IKE (после аутентификации)
и в нём можно делать всё что угодно. Например, в некоторых конфигурациях Микротики (RouterOS),
с которыми тоже приходится стыковаться, присылают в IKE некорректные
данные о своей стороне, в соответствии с которыми IKE-клиент генерирует такие SA,
что трафик в сторону Микротика идёт нешифрованный и использование scripe phase1
устраняет эту проблему дополнительной командой типа:

echo "spdadd $LOCAL_ADDR/32 $REMOTE_ADDR/32 ipencap -P out ipsec esp/transport//require;" | setkey -c

Ещё в скрипте можно создавать туннели if_gif(4) (в случае Микротика, который использует инкапсуляцию IPENCAP)
или if_ipsec (в случае туннельного режима IPSEC) с параметрами IP,
которые становятся полностью определёнными только к моменту старта такого скрипта.