Ako vytvorit IPsec VPN server

IPsec

Re:Ako vytvorit IPsec VPN server
« Odpověď #15 kdy: 27. 04. 2018, 09:43:28 »
SSH nemozem pouzivat, lebo to vyzaduje 3th part app... Preto chcem l2tp/IPsec, lebo klient je vstavany priamo v zariadeniach.... Windows, Mac, Android, iOS..... Inak by som to vobe neriesil a pouzil OpenVPN, len tiez vyzaduje 3th part app...
V kazdom pripade pomalicky studujem StrongSwan. Tak sa mi to snad podari zrobit...


pb.

Re:Ako vytvorit IPsec VPN server
« Odpověď #16 kdy: 27. 04. 2018, 20:41:12 »
SSH nemozem pouzivat, lebo to vyzaduje 3th part app... Preto chcem l2tp/IPsec, lebo klient je vstavany priamo v zariadeniach.... Windows, Mac, Android, iOS..... Inak by som to vobe neriesil a pouzil OpenVPN, len tiez vyzaduje 3th part app...
V kazdom pripade pomalicky studujem StrongSwan. Tak sa mi to snad podari zrobit...
Ahááá, už tuším, čeho chcete dosáhnout.
Třeba takto:

https://wiki.gentoo.org/wiki/IPsec_L2TP_VPN_server

naseptavac

Re:Ako vytvorit IPsec VPN server
« Odpověď #17 kdy: 29. 04. 2018, 15:30:53 »

IPsec

Re:Ako vytvorit IPsec VPN server
« Odpověď #18 kdy: 30. 04. 2018, 12:46:38 »
Ahoj,

stale tapam v configuracii IPsec. V konfiguracii sa pouziva Lava strana a Prava strana. Pokial spravne chapem, takto to vyzera ked by som chcel spojit router s routerom... Pokial ale mam len jednu stranu, na ktoru sa budu pripajat len klineti z roznych adries, nazvyme ju lavu,  tak pravu potom uplne vynechavam? Lebo vsade definuju lavu a pravu stranu....

Dakujem za radu... :)

IPsec

Re:Ako vytvorit IPsec VPN server
« Odpověď #19 kdy: 30. 04. 2018, 14:11:43 »
Edit:

alebo to len definujem nejako takto /etc/ipsec.conf

conn IPsec
        auto = add
        authby = psk
        type = tunnel
        left = 10.3.16.110
        leftsubnet = 10.3.16.1/24
        leftdns = 10.5.4.12
        leftprotoport = udp/l2tp
?       right = %any
?       rightsubnet = 0.0.0.0/0



naseptavac

Re:Ako vytvorit IPsec VPN server
« Odpověď #20 kdy: 30. 04. 2018, 20:25:08 »
Co kliknout na odkaz a zamyslete se? Proc myslis, ze tam neni zadny cokolisubnet?

Re:Ako vytvorit IPsec VPN server
« Odpověď #21 kdy: 01. 05. 2018, 19:20:10 »
Před pár měsíci jsem dělal návody na rozchození L2TP a IKEv2 VPN pomocí cloud-init skriptu, mám k tomu vyrobené ale i bashové skripty, které konfiguraci vytvoří:

https://lynt.cz/blog/l2tp-vpn-v-aws-snadno-a-rychle
https://lynt.cz/blog/ikev2-vpn-v-cloudu-snadno-a-rychle

naseptavac

Re:Ako vytvorit IPsec VPN server
« Odpověď #22 kdy: 01. 05. 2018, 21:17:27 »
To mi pripomnelo otazku nastaveni firewallu pro UDP port 1701 - vyuzije se faktu, ze paket ani po vybaleni z IPSECu neztraci svou znacku:


...
iptables -t mangle -A PREROUTING -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 500 -j MARK --set-xmark 0x2/0xffffffff
iptables -t mangle -A PREROUTING -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 4500 -j MARK --set-xmark 0x2/0xffffffff
...
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
...
iptables -A INPUT -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 500 -m mark --mark 0x2 -j ACCEPT
iptables -A INPUT -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 1701 -m mark --mark 0x2 -j ACCEPT
iptables -A INPUT -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 4500 -m mark --mark 0x2 -j ACCEPT
...
iptables -A INPUT -j REJECT

Tim je UDP port 1701 zvenci nepristupny, ale pro L2TP vybalene z IPSECu ano.