OpenBSD下的L2TP-x-fish-ChinaUnix博客

repeated until learnedfish.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

x-fish

博客访问： 527390
博文数量： 53
博客积分： 2265
博客等级：大尉
技术积分： 574
用户组：普通用户
注册时间： 2007-08-15 16:50

文章分类

全部博文（53）

misc（2）
Oracle（4）
Shell（4）
Exim（9）
Linux（18）
BSD（15）
未分配的博文（1）

文章存档

2019年（1）

2018年（2）

2016年（2）

2015年（1）

2014年（6）

2013年（5）

2012年（7）

2011年（16）

2010年（13）

我的朋友

相关博文

OpenBSD下的L2TP

分类： BSD

2018-07-24 16:48:30

OpenBSD从5.3开始，就自带了npppd这个package，让设置pptp,l2tp轻而易举，只需简单设置下，就可以了。
且该package解决了Android和iOS的IPSec phase 1和 phase 2 模式和
加密方法不同的情况。

以下情形是，OpenBSD作为网关的设定。
/etc/npppd/npppd.conf

----分割线开始----
authentication LOCAL type local {
        users-file "/etc/npppd/npppd-users"
}

tunnel L2TP protocol l2tp {
        listen on 0.0.0.0
        listen on ::
}

ipcp IPCP {
        pool-address 11.0.0.2-11.0.0.254
        dns-servers 202.96.128.86 202.96.128.143
}
interface pppx0 address 11.0.0.1 ipcp IPCP
bind tunnel from L2TP authenticated by LOCAL to pppx0
----分割线结束----

ipsec设置：

设置文件为：/etc/ipsec.conf
其中下面的配置里， ext_if是OpenBSD系统里的外网网卡端口，如果是pppoe拨号的，则为pppoe0...
key为L2TP的share key
----分割线开始----
ext_if=em0
key="mypassword"

ike passive esp transport \
                proto udp from $ext_if to any port 1701 \
                main auth "hmac-sha1" enc "3des" group modp1024 \
                quick auth "hmac-sha1" enc "aes" \
                psk $key
----分割线结束----

接着得系统启动时，设置以下package随机启动，在 /etc/rc.conf （或者 /etc/rc.conf.local)里设置

isakmpd_flags="-K"
ipsec=YES
ipsec_rules=/etc/ipsec.conf
npppd_flags=""

最后，是PF的设定，

由于作为网关，得在 /etc/sysctl.conf 里写入以下来启动 ip包 forwarding和npppd所需要的pipex。



net.inet.ip.forwarding=1
net.inet6.ip6.forwarding=1
net.pipex.enable=1

 PF设置，简单的可如下设置，在 /etc/pf.conf 按个人需要设置  


WAN="em0"
set skip on lo

match out on $WAN from any to any nat-to ($WAN)
pass quick all

阅读(949) | 评论(0) | 转发(0) |

上一篇：Linux 双线-内网自动选择指定出口（策略Route和iptable）

下一篇：FreeBSD下的L2TP Server ( mpd5+ipsec_tools 或mpd5+strongswan )

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6