ipsec - openswan

Как уже говорилось в "l2tp - начало" мы настраиваем связку l2tp с минимальным шифрованием ipsec. Вариантов у шифрования при использовании ipsec достаточно много, меня, как всегда, интересует простейший вариант и минимальные телодвижения, так как основная проблема заключается в первоначальной настройке. После того, как будет запущен самый простой вариант уже есть смысл и возможность углубляться в дебри =), а пока настроим ipsec OpenSwan с шифрованием по ключевой фразе - PSK.

После установки пакета openswan необходимо настроить 2 конфигурационных файла:

# /etc/ipsec/ipsec.conf
version 2.0 # conforms to second version of ipsec.conf specification

config setup
# Включаем NAT-T, иначе через трансляцию и межсетевые экраны это работать
# не будет. На межсетевом экране необходимо разрешить пакеты UDP к нашему
# серверу по портам 500 (ipsec) и 4500 (nat traversal)
nat_traversal=yes
# Перечислены серые сети из которых можно подключиться по ipsec
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
nhelpers=0

conn l2tp-psk
# Авторизация пуде произвоидтся по ключевой фарзе
authby=secret
# Отключаем PFS в первой фазе =).
pfs=no
# Соединения будут добавляться по мере присоединения клиентов
auto=add
# Отключаем попытку договориться о смене ключей
rekey=no
# Внутренний ip адрес сервера ipsec/l2tp
left=192.168.1.10
# IP-адрес сервера в интернет за NAT
leftid=2.2.2.2
# Протокол l2tp на сервере
leftprotoport=17/0 на стороне сервера
# Маршрут сервера по умолчанию
leftnexthop=192.168.100.1
#
# Настройки для клиента протокола l2tp.
#
right=%any
rightprotoport=17/1701
rightsubnet=vhost:%priv,%no
#Disable Opportunistic Encryption
include /etc/ipsec/ipsec.d/examples/no_oe.conf

Осталось записать ключевую фразу в файл с секретом:

#/etc/ipsec/ipsec.secrets
: PSK "123456"

После этого стартуем сервисы /etc/init.d/ipsec и /etc/init.d/xl2tpd. После этого можно пробовать соединиться клиентом встроенным в Windows 7, но не сразу =). Несмотря на то, что в Windows встроен достаточно хороший клиент для vpn, при работе с ipsec через nat, необходимо добавить ключ реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent\AssumeUDPEncapsulationContextOnSendRule и установить значение REG_DWORD равным 2. Таким образом мы сообщаем Ipsec в Windows что сервер и клиент ipsec могут находиться за NAT. Последнее, что необходимо настроить, это добавить ключевую фразу. Это делается в свойствах соединения, на вкладке "Безопасность" под кнопкой "Дополнительные параметры". Впишите предварительный ключ, такой же, как и указанный в /etc/ipsec/ipsec.secrets.

На этом все настройки закончены и можно пользоваться. =)