Настройка vpn linux debian

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

Подключение к провайдеру через VPN

На практике, чаще всего, встречается ситуация, когда пользователь имеет доступ в локальную сеть, но для выхода в интернет, ему необходимо воспользоваться VPN-соединением, использующим PPTP или L2TP протокол. Следовательно, для того, чтобы получить доступ в интернет, нужно установить VPN-соединение, а точнее (чаще всего) — по протоколу PPTP.

по протоколу PPTP

Для установки соединения с провайдером вам понадобится клиент pptp-linux. Смотрите подробное описание установки соединения по протоколу PPTP здесь.

по протоколу L2TP

Для установки соединения с провайдером вам понадобится программа OpenL2TP или демон xl2tpd. Смотрите подробное описание установки соединения по протоколу L2TP через программу OpenL2TP здесь, для демона xl2tpd — здесь.

с диска netinstall

В случае, если вы воспользовались установочным диском netinstall (debian-version—arch-netinst.iso), и находитесь в свежей, только что установленной системе, то вы сможете уже сейчас установить Интернет соединение по протоколу PPTP.

Собственно, весь подвох заключается в том, что при обычной (псевдо)графической установке, ставятся не все пакеты, а при экспертной установке (в расширенных параметрах установки) нам предоставляется возможность выбрать список пакетов (в т.ч. и нужный нам). В составе пакетов установочного диска netinstall находится пакет клиента pptp-linux, но отсутствует пакет с демоном xl2tpd.

Во время процесса установки системы

После процесса установки системы

После завершения обычной (псевдо)графической установки, проверьте ваш файл со списком ‘источников’, /etc/apt/sources.lists, на наличие строки, которая добавляет ‘источник’ репозитория пакетов с CD-ROM диска netinstall. В общем случае, строка, добавляющая ‘источник’, которая выглядит как deb cdrom:[Debian GNU/Linux release info]/ version main, уже присутствует в вашем файле /etc/apt/sources.lists, но закомментирована. В таком случае, просто раскомментируйте эту строку, подключив к APT, репозиторий пакетов, содержащийся на диске. Если же вы удалили строку или её часть, то воспользуйтесь утилитой apt-cdrom, введя команду

тем самым, добавив снова строку в файл /etc/apt/sources.lists, для подключения репозитория пакетов, находящегося на диске netinstall. Затем обновите список доступных пакетов в собственной базе данных системы пакетов APT командой

и можете обнаружить пакет pptp-linux в списке доступных

# aptitude search pptp-linux

Обратите внимание, что программа apt-cdrom работает только, если ваш CD-ROM правильно настроен в системном файле настроек /etc/fstab.

Разумеется, конечно, пакеты-зависимости pptp-linux также присутствуют в списке доступных пакетов, при помощи диска netinstall.

Организация доступа через VPN

Ссылки

netinstall — Сетевая установка с минимальным компакт-диском
Руководство APT — Добавление CD-ROM в файл sources.list
Клиент PPTP — Официальный сайт «Клиент PPTP», клиент Linux, FreeBSD, NetBSD и OpenBSD для протокола от Microsoft — Point-to-Point Tunneling Protocol, PPTP
Клиент PPTP — Руководство по использованию в Debian

Источник

Записки IT специалиста

Настраиваем L2TP VPN-сервер на платформе Linux (Debian / Ubuntu)

L2TP — один из наиболее популярных VPN-протоколов, обладающий, благодаря IPsec, отличной безопасностью, достаточной простотой и широкой поддержкой со стороны всех современных ОС. Для работы с ним не требуется установка дополнительного ПО и какие-либо сложные настройки. Мы уже рассматривали настройку L2TP VPN-сервера на платформах Windows и Mikrotik, а теперь расскажем, как настроить аналогичный сервер в Linux, дистрибутивах основанных на Debian или Ubuntu.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Перед тем, как приступать к работе над данной статьей мы внимательно изучили русскоязычный сегмент сети на предмет освещения данной темы и были весьма сильно удивлены. Большинство находящихся на первых страницах поиска ресурсов перепечатывает одну и ту же устаревшую инструкцию, даже в достаточно свежих публикациях. Но наш сайт с самого своего основания принципиально не занимается перепечатками (кроме переводов) и мы всегда проверяем на практике то, что рекомендуем нашим читателям. В этот раз нам пришлось потратить некоторое лишнее время на чтение документации, зато теперь мы можем предложить вам актуальный материал по настройке L2TP в Linux.

В качестве систем на тестовом стенде мы использовали Debian 10 и Ubuntu 20.04, но с некоторыми изменениями данная инструкция применима к любым версиям Linux со strongSwan версии 5.0 и выше.

Настраиваем IPsec

Именно с устаревшими настройками IPsec вам придется столкнуться в большинстве опубликованных инструкций. Нет, все даже будет работать, но вот безопасность такого решения окажется довольно низкой, не соответствующей современным требованиям. Поэтому, если у вас уже имеется настроенный экземпляр L2TP-сервера мы настоятельно советуем обновить его настройки.

Для работы с IPsec мы будем использовать пакет strongSwan, установим его:

Затем откроем файл настроек /etc/ipsec.conf и добавим в его конец следующие две секции:

conn rw-base 
fragmentation=yes 
dpdaction=clear 
dpdtimeout=90s 
dpddelay=30s

conn l2tp-vpn 
also=rw-base 
ike=aes128-sha256-modp3072 
esp=aes128-sha256-modp3072 
leftsubnet=%dynamic[/1701] 
rightsubnet=%dynamic 
leftauth=psk 
rightauth=psk 
type=transport 
auto=add

Первая секция задает общие параметры: включает фрагментацию IKE и настраивает протокол обнаружения мертвых узлов (Dead Peer Detection, DPD), отвечающий за обнаружение неактивных клиентов. Вторая относится уже к L2TP-соединениям, указывая использовать транспортный режим IPsec, аутентификацию по общему ключу и задает используемые шифры. Приведенные значения являются рекомендуемыми и взяты из официальной документации strongSwan.

Общий ключ следует указать в файле /etc/ipsec.secrets, добавив в него следующую строку:

Где mySharedKey — общий ключ, так как от него зависит безопасность вашей VPN-сети мы рекомендуем использовать в качестве ключа случайно сгенерированную строку из букв, цифр и спецсимволов. Для этого можно воспользоваться командой:

Результатом ее выполнения станет случайная строка длинной в 18 символов.

После внесения указанных настроек перезапустим службу:

systemctl restart strongswan

В Ubuntu имя службы несколько иное — strongswan-starter, поэтому команда будет иметь вид:

systemctl restart strongswan-starter

Настраиваем L2TP

Для реализации функций L2TP-сервера предназначен пакет xl2tpd, для его установки выполните:

Затем откройте файл настроек /etc/xl2tpd/xl2tpd.conf, раскомментируйте и приведите к следующему виду опции:

[global]
port = 1701
auth file = /etc/ppp/chap-secrets
access control = no
ipsec saref = yes
force userspace = yes

[lns default]
exclusive = no
ip range = 10.2.2.100-10.2.2.199
hidden bit = no
local ip = 10.2.2.1
length bit = yes
require authentication = yes
name = l2tp-vpn
pppoptfile = /etc/ppp/options.xl2tpd
flow bit = yes

Большая часть опций относится к настройке протокола L2TP и требует понимания его работы, поэтому мы на них останавливаться не будем. Разберем те опции, которые имеют существенное значение. Параметр auth file указывает на файл с данными для аутентификации, а pppoptfile — набор опций для PPP-соединения, которое используется внутри L2TP-туннеля, name — имя сервера, которое будет использоваться для поиска аутентификационных данных в файле chap-secrets.

Опции local ip и ip range отвечают за локальный адрес сервера в VPN-сети и диапазон адресов для выдачи удаленным клиентам. Здесь можно использовать два подхода: выдавать клиентам адреса из диапазона локальной сети офиса и включить ProxyARP, в этом случае настраивать маршрутизацию на клиентах не требуется, они будут как-бы включены в общую сеть офиса на канальном уровне (L2), либо выдавать адреса из непересекающегося диапазона и использовать маршрутизацию. Автоматизировать создание маршрутов для Windows-клиентов можно с использованием PowerShell.

Для настройки PPP перейдем в /etc/ppp и скопируем стандартный файл настроек:

cd /etc/ppp
cp options options.xl2tpd

Затем открываем файл /etc/ppp/options.xl2tpd на редактирование и приводим к следующему виду. Опции перечислены в порядке их следования, нужно раскомментировать их и указать нужное значение, если опция отсутствует, то ее следует добавить в конце файла.

asyncmap 0
auth
crtscts
lock
hide-password
modem
mtu 1460
lcp-echo-interval 30
lcp-echo-failure 4
noipx
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
multilink
mppe-stateful

Если вы будете использовать ProxyARP то дополнительно раскомментируйте опцию:

Также для Windows-клиентов можно передать настройку DNS-серверов, для этого добавьте опции:

ms-dns 192.168.1.1
ms-dns 192.168.1.2

Это позволит настроить первичный и альтернативный DNS-сервера в системе.

Сохраним все внесенные изменения и перезапустим службу L2TP-сервера:

Строку со следующим сообщением можно проигнорировать, на работу VPN-сервера она не влияет:

xl2tpd[843]: setsockopt recvref[30]: Protocol not available

Заключительным этапом настройки будет создание учетных записей для удаленных клиентов, для этого откроем файл /etc/ppp/chap-secrets и внесем следующую строку:

Первым указываем логин, затем имя службы, оно должно совпадать с тем, которое мы указали в опции name в xl2tpd.conf, после него идет пароль и IP-адрес клиента, символ * обозначает что можно присвоить любой адрес из выбранного диапазона. Если же требуется выдать клиенту постоянный адрес, то его следует указать явно, и он не должен входить в динамический диапазон указанный в ip range, например:

petrov l2tp-vpn Pa$$word_1 10.2.2.99

Для доступа к L2TP-серверу следует разрешить в брандмауэре входящие подключения к портам 500 UDP, 1701 UDP и 4500 UDP.

Дополнительные материалы:

Настраиваем VPN. Часть 1 — Общие вопросы
Настраиваем VPN. Часть 2 — Cтруктура сети
Настраиваем VPN сервер. Часть 3 — PPTP. Платформа Linux
Настраиваем VPN сервер. Часть 4 — PPTP. Платформа Windows
Настраиваем VPN сервер. Часть 5 — L2TP. Платформа Windows
Ubuntu Server. Форвардинг PPTP средствами iptables
Организация VPN каналов между офисами при помощи OpenVPN
Организация каналов между офисами при помощи OpenVPN с дополнительной парольной защитой
Организация VPN каналов между офисами. Маршрутизация
Организация каналов между офисами при помощи OpenVPN на платформе Linux
Настройка OpenVPN-сервера для доступа в интернет
Настройка двух и более OpenVPN-серверов на одном сервере
Почему тормозит OpenVPN? Размер буферов приема и отправки
Как настроить несколько одновременных OpenVPN подключений в Windows
SSH-туннели на службе системного администратора
Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3
Настройка OpenVPN-сервера на роутерах Mikrotik
Настройка VPN-подключения в роутерах Mikrotik
OpenVPN объединяем ключи и конфигурацию клиента в один файл
OpenVPN и инфраструктура открытых ключей (PKI)
Настройка OpenVPN-сервера на роутерах Mikrotik
Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам
Настраиваем PPTP или L2TP VPN-сервер при помощи RRAS в Windows Server
Автоматическое добавление маршрутов для VPN-соединения в Windows

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Источник