abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:33 | Bezpečnostní upozornění

    V repozitáři AUR (Arch User Repository) linuxové distribuce Arch Linux byly nalezeny a odstraněny tři balíčky s malwarem. Jedná se o librewolf-fix-bin, firefox-patch-bin a zen-browser-patched-bin.

    Ladislav Hagara | Komentářů: 0
    dnes 00:22 | Komunita

    Dle plánu by Debian 13 s kódovým názvem Trixie měl vyjít v sobotu 9. srpna.

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Komunita

    Vývoj linuxové distribuce Clear Linux (Wikipedie) vyvíjené společností Intel a optimalizováné pro jejich procesory byl oficiálně ukončen.

    Ladislav Hagara | Komentářů: 1
    18.7. 14:00 | Zajímavý článek

    Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    18.7. 12:00 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 12.0 (Mastodon). Forgejo je fork Gitei.

    Ladislav Hagara | Komentářů: 1
    17.7. 18:44 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).

    Ladislav Hagara | Komentářů: 1
    17.7. 16:11 | Nová verze

    Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 4
    17.7. 15:55 | Komunita

    Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

    Ladislav Hagara | Komentářů: 5
    16.7. 21:22 | IT novinky

    Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

    Ladislav Hagara | Komentářů: 19
    16.7. 16:22 | IT novinky

    Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

    Ladislav Hagara | Komentářů: 26
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (15%)
     (15%)
     (8%)
     (0%)
     (0%)
     (8%)
     (0%)
     (54%)
    Celkem 13 hlasů
     Komentářů: 3, poslední včera 17:26
    Rozcestník

    Dotaz: server L2TP/IPSEC na Linuxu

    10.7.2020 22:39 Petr K.
    server L2TP/IPSEC na Linuxu
    Přečteno: 878×
    Dobrý den.
    Neřešil jste někdo L2TP/IPSEC server s PSK na Linuxu a k němu připojené Windows 10 klienty ?
    Jsou nějaká doporučení, na co si dát pozor ?

    Díky,
    Petr

    Odpovědi

    Max avatar 11.7.2020 00:13 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu
    Řešil jsem a mám nasazeno a funkční L2TP over IPSEC s tím, že server mám za natem a klienti mohou být také za natem + není problém více klientů za stejným natem. Každopádně L2TP nepřináší žádné výhody, proto mám nakonec všechny na IKEv2 (a rozepsaný článek o IPSECu a Byod).
    Pokud vážně chceš L2TP a né IKEv2, tak doporučení jsou :
    • pokud máš server za natem, tak Windows klienti ti fungovat nebudou, dokud jim do registrů nezapíšeš, aby ignorovaly checksummy L2TP, který jsou tunelovaný v IPSEC tunelu, tj. "AssumeUDPEncapsulationContextOnSendRule"
    • pokud to budeš provozovat na FreeBSD (třeba pomocí pfSense) a zároveň budeš mít server za natem, tak si ověř, že máš opatchovaný/fixnutý kernel, viz bug 146190
    • pokud narazíš na článek / howto, který ti bude radit, aby jsi na fw povoloval L2TP port 1701, tak přestaň číst a uteč, protože dotyčný neví, co dělá
    Zdar Max
    Měl jsem sen ... :(
    11.7.2020 16:53 Petr K.
    Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu
    Dobrý den Maxi a děkuji za zajímavý příspěvěk.
    Prosím, neměl by jste nějaké doporučení na zajímavé/vhodné howto ?

    Díky,
    Petr
    Max avatar 13.7.2020 09:41 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu
    Instaloval jsem to před 4 roky a ucelený návod asi tenkrát nikde nebyl, nevím. Vesměs jde o to nainstalovat strongswan + xl2tpd a poté je nastavit. Navíc pro strongswan teď moc návodů platit nebude, jelikož přešli na novou syntaxi (nový konfigurační systém souborů). Mají ale i notičky, jak kterou volbu přepsat do nového nastavení. Dělal jsem to teď, když jsem stavil nový server (už bez L2TP, čistě jen IKEv2). Stále ještě podporují starou syntaxi, ale proč dnes stavět něco na něčem legacy.

    Dále to, co se strongswanem používám, je i virtuální interface xfrm. Aby to na debianu fungovalo, musí se naladit backports repository a z něj pak nový kernel a iproute.
    Zdar Max
    PS: strongswan si kompiluji, abych měl v Debianu vždy poslední verzi (pomocí deb-src ze sid repository)
    Měl jsem sen ... :(
    15.7.2020 20:02 Petr
    Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu
    Tak na tohle porno seru :-)

    Ale i tak díky ! :-)

    Petr
    Max avatar 15.7.2020 23:09 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu
    Asi takhle, nikdo tě nenutí si kompilovat strongswan a používat virtuální interface xfrm a používat novou syntaxi konfiguráku. Mně jen byla škoada toho nevyužít, kdy je to aktuální stav. Stále si můžeš naladit distribuční verzi, použít legacy syntaxy a místo xfrm používat vti. Na pár let i déle ti to rozhodně bude v klidu stačit.
    Zdar Max
    Měl jsem sen ... :(
    31.7.2020 00:52 [Jooky]
    Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu
    pokud narazíš na článek / howto, který ti bude radit, aby jsi na fw povoloval L2TP port 1701, tak přestaň číst a uteč, protože dotyčný neví, co dělá
    Radsej nikde neutekat a skorsie docitat clanok s pochopenim ... Tiez planujem nasadzovat L2TP/IPSec a co som si vsimol, tak velmi malo clankov riesi "co sa deje na drote" ... Casto krat je jeden clanok pre L2TP/None, L2TP/MPPE a L2TP/IPSec. Potom uz len niekde na konci je okrajovo spomenute, ze treba 1701/UDP (l2tp), 500/UDP (isakmp), 4500/UDP(ipsec-nat-t) a IPSEC-ESP. Casto krat bez poznamok, co je co a k comu sa pouziva (len cisla portov). Zrejme uz nevyslo miesto na konkretnejsie informacie :D

    Ktore porty a ako povolit dost zalezi aj na konkretnej situacii ... ked ma clovek jeden FW na vstupe do siete a az niekde v sieti sedi VPN server (bez firewallu), tak samozrejme staci na FW povolit len IPSec veci a L2TP port nema zmysel tam povolovat. Taka konfiguracia je aj dalsia obrana voci chybe, kedy by sa client pripojil s L2TP/None, alebo L2TP/MPPE. Proste ten port nie je dostupny, tak to nepojde ... ina situacia je ale, ked FW a VPN server sedi na jednom zariadeni. V mojom pripade, po tom co router desifruje IPSec, strci vysledny packet znova do input chain-u vo firewalle. Tym padom ten 1701 port povolit musim, alebo inac sa to k L2TP nedostane. Nastastie ta VPN cast si vie pozriet IPSec stav a "use-ipsec=require" zabezpeci, ze akekolvek ine spojenia su zahodene. Clienta to vyhodi, este nez vobec zacne nadvazovat spojenie ...

    Je skoda, ze len malo clankov spomina, ako veci funguju interne a preco ktory port treba ...
    17.7.2020 12:37 cz_motyl | skóre: 19
    Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu
    Zkuste si nasadit hotove reseni: Softether.org

    Je to multiplatformni a tech VPN protokolu zvlada vice, nejen L2TPoIpSec. Nemluve o velmi pratelske administraci pomoci GUI klienta.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.