IPsec over L2TP vpn telepítése OpenVPN mellé Zentyal Linux 3.4 alá

 ( gedg87 | 2017. április 25., kedd - 21:33 )

Sziasztok!

Adott egy Zentyal 3.4 rendszerrel rendelkező tűzfal szerver, amely 5 fizikai +1 openvpn hálózatot szabályoz / működtet.

Ez eddig gond nélkül működött, nem is nagyon piszkáltam, mivel működött.

Viszont most jött egy újabb telephely, ahol egy olyan Mikrotik tűzfallal rendelkeznek, amely kizárólag az IPsec over L2TP vpn-t támogatja PSK authentikációval, és ezt a telephelyet össze akarják kötni azzal a telephellyel, ahol a zentyal tűzfal fut.

Tehát alapvetően a feladatom az lenne, hogy a jelenlegi OpenVPN megtartása mellett, egy IPsec over L2TP alapú vpn-t beüzemeljek a zentyal tűzfalon, úgy, hogy a másik telephely fel tudjon csatlakozni a szerverre, ezáltal a szerverhez kapcsolódó hálózatról adatokat töltsenek és dolgozzák fel naponta többször.

A zentyal beépített IPSec alkalmazása már nem telepíthető, mert a netes forrás már nem érhető el, így kézileg húztam fel egy openswan xl2tpd ppp lsof modult a szerverre, amit ez alabbi linken talalhato leiras alapjan be is allitottam:
https://github.com/xelerance/Openswan/wiki/L2tp-ipsec-configuration-using-openswan-and-xl2tpd

Tuzfalon kinyitottam a 1701-es portot UDP Protokollon, de csatlakozni megsem tudok.
ipsec verify kimenete:

ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.38/K3.11.0-26-generic (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing XFRM related proc values [FAILED]

Please disable /proc/sys/net/ipv4/conf/*/send_redirects
or NETKEY will cause the sending of bogus ICMP redirects!

[FAILED]

Please disable /proc/sys/net/ipv4/conf/*/accept_redirects
or NETKEY will accept bogus ICMP redirects!

[OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Two or more interfaces found, checking IP forwarding [FAILED]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [WARNING]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]

Ha a sysctl.conf-ot elkezdem piszkalni a leirtak alapjan, akkor megall a halozatok kozti routing teljesen. Igy mostmar abszolut tanacstalan vagyok, hogy egyaltalan megoldhato ez, hogy az OpenVPN es az IPsec parhuzamosan mukodjon, vagy mi az amit elronthattam a kimenet alapjan szerintetek?

A segitseget elore is koszonom!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

> egyaltalan megoldhato ez, hogy az OpenVPN es az IPsec parhuzamosan mukodjon

Természetesen, hiszen az IPSec/L2TP nem tud az OpenVPN létezéséről, és viszont.

> Tuzfalon kinyitottam a 1701-es portot UDP Protokollon

Ezen felül az IPSec protokolljait is ki kell nyitni. UDP/500, UDP/4500, AH, ESP

Ha mutatnál konfigokat (pastebin) talán okosabbak lennénk.

A Netkey hibauzenetet sikerult megoldanom.

Mostmar csak az alabbi hiba aktualis

Two or more interfaces found, checking IP forwarding [FAILED]

Ami viszont nem vilagos, hogy az IPsec ethernet interfacet hogyan tudom felkapcsolni?

OpenVPN önállóan felkapcsolta a tun0 ethernet interfacet, viszont az interfaces fileban nem szerepel, ezert gondolom, hogy az IPsec szamara sem kell definialnom a /etc/network/intrfaces fileban egy vlan interfacet, vagy igen?

> Ami viszont nem vilagos, hogy az IPsec ethernet interfacet hogyan tudom felkapcsolni?

Hogy milyen ethernet interface-t?
IPSec/L2TP esetén az IPSec policy alapján a kernel megoldja a titkosítást (a kulcs-cseréhez kell a pluto és társai) az adatok pedig L2TP-n belül, PPP-vel fognak menni. Az L2TP csatlakozást xl2tpd esetén az xl2tpd-control paranccsal tudod vezérelni.

Itt van az összes config , amit hasznal az IPSec:

https://pastebin.com/qjqfLqFU

Az ethernet interfacet azert kerdeztem, mert lattam olyan tutorialt, ahol definialt egy olyan eth0:1 vlan interfacet, ami a local ip-hez írt ip címet rendelte a tutorial írója.

A netkey problémámat az alábbi bejegyzések oldották meg.
# Disable send redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/lo/send_redirects

# Disable accept redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/lo/accept_redirects

Amikor pedig újraindítoam az IPsec szolgáltatást, akkor az alábbi uzeneteket kapom:
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: Starting Openswan IPsec U2.6.38/K3.11.0-26-generic...
ipsec_setup: no default routes detected