服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何拒绝连接到xl2tp没有ipsecencryption?
Intereting Posts
如何获取路由器名称和IP在Windowsnetworking选项卡中显示? (在代码或从registry) 在x86_64-darwin(与x86_64-linux)上部署NixOps 基于证书的身份validation如何在IIS7.5中工作? 添加不包括SSH数据包的延迟和随机丢包 仅在某些目录中破坏文件名中的字符 在自定义网站上设置ADFS代理? 优化CommVault Simpana 9的磁带介质使用 WDS 2008 R2 DHCP错误 创build本地主机的logging 用于公共IP地址的SSL证书? Zonet KVM3322的热键 无法更改SSL绑定 在Windows Server 2012 R2中强制DHCP保留更新到辅助DHCP服务器 即使在Ubuntu 11上更新了dovecot.conf,Dovecot也会抛出过时的警告 使用远程生成的SSH密钥连接到服务器

如何拒绝连接到xl2tp没有ipsecencryption?

我尝试设置l2tp + ipsec服务器为我的手机使用和我的家庭路由器使用。 所以我做了一些设置,并检查它从Android设备工作正常。 我在ipsec –status上看到encryption。

我的系统是基于Digital Ocean的CentOS Linux版本7.0.1406(Core)。

我的问题是,我可以从Mikrotik连接到L2TP服务器没有ipsec。

所以现在我需要一些build议:

如何在Linux端不使用IPSECencryption来拒绝L2TP连接,因为即使ipsec恶魔停止,我也可以从mikrotik连接到xl2tpd。

如何正确configurationmikrotik以ipsec传输模式连接到l2tp + ipsec服务器。

这是我的Linuxconfiguration:

/etc/ppp/options.xl2tpd 

require-mschap-v2 ipcp-accept-local ipcp-accept-remote ms-dns 8.8.8.8 auth crtscts idle 1800 mtu 1310 mru 1310 hide-password modem name l2tpd multilink lcp-echo-interval 5 lcp-echo-failure 4 proxyarp

/etc/xl2tpd/xl2tpd.conf 

 [global] ipsec saref = yes force userspace = yes auth file = /etc/ppp/chap-secrets [lns default] ip range = 192.168.1.128-192.168.1.254 local ip = 192.168.1.99 refuse chap = yes refuse pap = yes require authentication = yes name = LinuxVPNserver ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes

/etc/ipsec.conf 

 config setup protostack=netkey dumpdir=/var/run/pluto/ nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10,%v4:!192.168.250.0/24,%v4:!192.168.$ keep_alive=1800 conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=8 ikelifetime=8h keylife=1h type=transport left=146.185.XXX.XXX leftprotoport=17/%any right=%any rightprotoport=17/%any

这里是从Mikrotik在IPSEC传输模式下的ipsec安装的工作部分: 

 admin@MikroTik] > /ip ipsec policy print Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 0 TX* group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes 1 src-address==%MIKROTIK EXTERNAL IP%/32 src-port=any dst-address=%SERVERIP%/32 dst-port=any protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=%MIKROTIK EXTERNAL IP% sa-dst-address=%SERVERIP% proposal=default priority=0 [admin@MikroTik] > /ip ipsec peer print Flags: X - disabled, D - dynamic 0 address=%SERVERIP%/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="KEY" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

我已经把这个问题发布到GitHub上的xl2tpd团队,这是答案(检查和工作在我的设置):

你可以像这样使用iptables策略模块: 

 iptables -A INPUT -p udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT iptables -A INPUT -p udp --dport 1701 -j DROP

https://github.com/xelerance/xl2tpd/issues/97