Přihlášení | Registrace

napište » Zprávičky

Zeek 8.0.0

dnes 04:00 | Nová verze

Zeek (Wikipedie), původně Bro, byl vydán v nové major verzi 8.0.0. Jedná se o open source platformu pro analýzu síťového provozu. Vyzkoušet lze online.

Ladislav Hagara | Komentářů: 0

Emacs na stříhání videa?

včera 23:55 | Zajímavý software

Emacs na stříhání videa? Klidně.

Ladislav Hagara | Komentářů: 2

Firefox 142.0

včera 15:55 | Nová verze

Byl vydán Mozilla Firefox 142.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 142 je již k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Python Developers Survey 2024

včera 13:22 | Zajímavý článek

Python Developers Survey 2024, výsledky průzkumu mezi vývojáři v Pythonu organizovaném Python Software Foundation ve spolupráci se společností JetBrains v říjnu a listopadu loňského roku. Zúčastnilo se 30 tisíc vývojářů z 200 zemí. Linux používá 59 % z nich.

Ladislav Hagara | Komentářů: 0

Novinky v Kdenlive 25.08.0

včera 04:00 | Zajímavý článek

Farid Abdelnour se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 25.08.0 editoru videa Kdenlive (Wikipedie). Ke stažení také na Flathubu.

Ladislav Hagara | Komentářů: 2

Git 2.51.0

včera 01:55 | Nová verze

Byla vydána nová verze 2.51.0 distribuovaného systému správy verzí Git. Přispělo 91 vývojářů, z toho 21 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1

Phrack 72

včera 01:33 | Zajímavý článek

Po roce bylo vydáno nové číslo magazínu Phrack: Phrack 72.

Ladislav Hagara | Komentářů: 3

OpenSSL Corporation zve na den otevřených dveří v Brně a konferenci OpenSSL v Praze

18.8. 19:33 | Pozvánky

OpenSSL Corporation zve na den otevřených dveří ve středu 20. srpna v Brně a konferenci OpenSSL od 7. do 9. října v Praze.

Ladislav Hagara | Komentářů: 3

LinuxDays 2025 a OpenAlt 2025 – blíží se konec přihlašování přednášek

18.8. 19:22 | Komunita

Konference LinuxDays 2025 proběhne o víkendu 4. a 5. října v Praze. Konference OpenAlt 2025 o víkendu 1. a 2. listopadu v Brně. Blíží se konec přihlašování přednášek. Přihlaste svou přednášku (LinuxDays do 31. srpna a OpenAlt do 3. října) nebo doporučte konference známým.

Ladislav Hagara | Komentářů: 0

5″ Raspberry Pi Touch Display 2

18.8. 12:22 | IT novinky

Raspberry Pi Touch Display 2 je nově vedle 7palcové k dispozici také v 5palcové variantě. Rozlišení stejné 720 × 1280 pixelů. Cena 40 dolarů.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (78%)

Panely (9%)

Záložky (9%)

Listy (0%)

Něco jiného (4%)

Nic (0%)

Celkem 23 hlasů

Komentářů: 4, poslední včera 16:48

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / server L2TP/IPSEC na Linuxu

Štítky: server, Windows

Dotaz: server L2TP/IPSEC na Linuxu

10.7.2020 22:39 Petr K.
server L2TP/IPSEC na Linuxu

Přečteno: 878×

Odpovědět | Admin

Dobrý den.
Neřešil jste někdo L2TP/IPSEC server s PSK na Linuxu a k němu připojené Windows 10 klienty ?
Jsou nějaká doporučení, na co si dát pozor ?

Díky,
Petr

Nástroje: Začni sledovat (0) ?

Odpovědi

11.7.2020 00:13 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Řešil jsem a mám nasazeno a funkční L2TP over IPSEC s tím, že server mám za natem a klienti mohou být také za natem + není problém více klientů za stejným natem. Každopádně L2TP nepřináší žádné výhody, proto mám nakonec všechny na IKEv2 (a rozepsaný článek o IPSECu a Byod).
Pokud vážně chceš L2TP a né IKEv2, tak doporučení jsou :

pokud máš server za natem, tak Windows klienti ti fungovat nebudou, dokud jim do registrů nezapíšeš, aby ignorovaly checksummy L2TP, který jsou tunelovaný v IPSEC tunelu, tj. "AssumeUDPEncapsulationContextOnSendRule"
pokud to budeš provozovat na FreeBSD (třeba pomocí pfSense) a zároveň budeš mít server za natem, tak si ověř, že máš opatchovaný/fixnutý kernel, viz bug 146190
pokud narazíš na článek / howto, který ti bude radit, aby jsi na fw povoloval L2TP port 1701, tak přestaň číst a uteč, protože dotyčný neví, co dělá

Zdar Max

Měl jsem sen ... :(

11.7.2020 16:53 Petr K.
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Dobrý den Maxi a děkuji za zajímavý příspěvěk.
Prosím, neměl by jste nějaké doporučení na zajímavé/vhodné howto ?

Díky,
Petr

13.7.2020 09:41 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Instaloval jsem to před 4 roky a ucelený návod asi tenkrát nikde nebyl, nevím. Vesměs jde o to nainstalovat strongswan + xl2tpd a poté je nastavit. Navíc pro strongswan teď moc návodů platit nebude, jelikož přešli na novou syntaxi (nový konfigurační systém souborů). Mají ale i notičky, jak kterou volbu přepsat do nového nastavení. Dělal jsem to teď, když jsem stavil nový server (už bez L2TP, čistě jen IKEv2). Stále ještě podporují starou syntaxi, ale proč dnes stavět něco na něčem legacy.

Dále to, co se strongswanem používám, je i virtuální interface xfrm. Aby to na debianu fungovalo, musí se naladit backports repository a z něj pak nový kernel a iproute.
Zdar Max
PS: strongswan si kompiluji, abych měl v Debianu vždy poslední verzi (pomocí deb-src ze sid repository)

Měl jsem sen ... :(

15.7.2020 20:02 Petr
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Tak na tohle porno seru :-)

Ale i tak díky ! :-)

Petr

15.7.2020 23:09 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Asi takhle, nikdo tě nenutí si kompilovat strongswan a používat virtuální interface xfrm a používat novou syntaxi konfiguráku. Mně jen byla škoada toho nevyužít, kdy je to aktuální stav. Stále si můžeš naladit distribuční verzi, použít legacy syntaxy a místo xfrm používat vti. Na pár let i déle ti to rozhodně bude v klidu stačit.
Zdar Max

Měl jsem sen ... :(

31.7.2020 00:52 [Jooky]
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

pokud narazíš na článek / howto, který ti bude radit, aby jsi na fw povoloval L2TP port 1701, tak přestaň číst a uteč, protože dotyčný neví, co dělá

Radsej nikde neutekat a skorsie docitat clanok s pochopenim ... Tiez planujem nasadzovat L2TP/IPSec a co som si vsimol, tak velmi malo clankov riesi "co sa deje na drote" ... Casto krat je jeden clanok pre L2TP/None, L2TP/MPPE a L2TP/IPSec. Potom uz len niekde na konci je okrajovo spomenute, ze treba 1701/UDP (l2tp), 500/UDP (isakmp), 4500/UDP(ipsec-nat-t) a IPSEC-ESP. Casto krat bez poznamok, co je co a k comu sa pouziva (len cisla portov). Zrejme uz nevyslo miesto na konkretnejsie informacie :D

Ktore porty a ako povolit dost zalezi aj na konkretnej situacii ... ked ma clovek jeden FW na vstupe do siete a az niekde v sieti sedi VPN server (bez firewallu), tak samozrejme staci na FW povolit len IPSec veci a L2TP port nema zmysel tam povolovat. Taka konfiguracia je aj dalsia obrana voci chybe, kedy by sa client pripojil s L2TP/None, alebo L2TP/MPPE. Proste ten port nie je dostupny, tak to nepojde ... ina situacia je ale, ked FW a VPN server sedi na jednom zariadeni. V mojom pripade, po tom co router desifruje IPSec, strci vysledny packet znova do input chain-u vo firewalle. Tym padom ten 1701 port povolit musim, alebo inac sa to k L2TP nedostane. Nastastie ta VPN cast si vie pozriet IPSec stav a "use-ipsec=require" zabezpeci, ze akekolvek ine spojenia su zahodene. Clienta to vyhodi, este nez vobec zacne nadvazovat spojenie ...

Je skoda, ze len malo clankov spomina, ako veci funguju interne a preco ktory port treba ...

17.7.2020 12:37 cz_motyl | skóre: 19
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Zkuste si nasadit hotove reseni: Softether.org

Je to multiplatformni a tech VPN protokolu zvlada vice, nejen L2TPoIpSec. Nemluve o velmi pratelske administraci pomoci GUI klienta.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje