В данной пошаговой инструкции описан способ реализации защищенного VPN соединения по протоколу L2TP через IPSec. Перед началом настойки удостоверьтесь, что у вас есть рабочее соединение с интернетом по какому-либо другому протоколу для установки требуемых пакетов. Возможность автономной установки пакетов в данной инструкции не рассматривается.
Протокол IPSec имеет два режима - транспортный и туннельный. Туннельный режим хорошо работает за NAT, но сложнее, чем транспортный. Сервер для туннельного режима доступен по адресу «svpn-ipsectunnel.mephi.ru» (85.143.112.49), и для транспортного, соответственно, «svpn-ipsectransport.mephi.ru» (85.143.112.48).
- Проверьте наличие поддержки IPSec в вашем ядре: Конфигурационный файл ядра находится в /usr/src/sys/<архитектура>/conf/<имя ядра> Если некоторые опции не поддерживаются, вам необходимо переконфигурировать ядро ОС.
- Установите порт ipsec-tools: Переконфигурировать порт не надо, просто выберите ОК в меню конфигурации.
- Проверьте, установлен ли у вас демон mpd5: Если он не уставлен, скомпилируйте и установите его:
- Откройте в интернет-браузере ресурс svpn.mephi.ru, выберите произвольный логин/пароль и сохраните сертификат. Выберите формат tar. Пусть, пользователь имеет логин omg и пароль smb.
- Далее, необходимо извлечь сертификаты стандарта X.509 из архива и переместить их в директорию /etc/racoon/certs
- Скопируйте файл /usr/local/etc/racoon/racoon.conf и заполните его следующим содержимым:
- Откройте файл /etc/*ipsec-tools.conf в текстовом редакторе и заполните его следующим содержимым (случай туннельного режима): или (случай транспортного режима): Далее в тексте по умолчанию приведены примеры конфигурационных файлов и команд для туннельного режима. Для транспортного режима необходимо заменить адрес «svpn-ipsectunnel.mephi.ru» (85.143.112.49) на «svpn-ipsectransport.mephi.ru» (85.143.112.48).
- Отправьте письмо с просьбой выдать логин/пароль для L2TP подключения на voip@mephi.ru. Пусть, вы получили логин foo и пароль bar (Не путайте с omg / smb !)
- Откройте в текстовом редакторе файл /usr/local/etc/mpd5/mpd.conf и заполните его следующим содержимым: Если файл ещё не существует, его следует создать. Будьте предельно внимательны с синтаксисом файла! Парсер чувствителен к пробелам, табуляции и порядку строк.
- Создайте сетевой интерфейс с натированием:
- Создайте файл со следующим содержимым: Это скрипт, позволяющий автоматически настраивать таблицу маршрутизации для вашей системы при запуске mpd5. Аналогично, создайте файл со следующим содержимым:
- Сделайте скрипты исполняемыми
- Запустите демоны:
- Проверьте доступность шлюза из vpn сети: Если сервер доступен, то настройка соединения прошла успешно.