{"id":300,"date":"2012-07-10T10:29:20","date_gmt":"2012-07-10T08:29:20","guid":{"rendered":"http:\/\/www.opencomp.hu\/?p=300"},"modified":"2020-03-25T10:30:20","modified_gmt":"2020-03-25T09:30:20","slug":"vpn-megoldasok-ii-l2tp-ipsec-vpn-szerver","status":"publish","type":"post","link":"https:\/\/www.opencomp.hu\/?p=300","title":{"rendered":"VPN megold\u00e1sok II. \u2013 L2TP\/IPSEC VPN szerver"},"content":{"rendered":"\n

Ez a post most dedik\u00e1ltan, k\u00fcl\u00f6n ig\u00e9nyre k\u00e9sz\u00fclt, Paluska Misi kom\u00e1mnak, a bloggazd\u00e1nak. Az el\u0151z\u0151 VPN-r\u0151l sz\u00f3l\u00f3 \u00edr\u00e1sban kifejezte ig\u00e9ny\u00e9t hozz\u00e1sz\u00f3l\u00e1s\u00e1ban olyan, a PPTP-n\u00e9l biztons\u00e1gosabb megold\u00e1sra, melyet \u0151 egyar\u00e1nt tudna haszn\u00e1lni a rendelkez\u00e9s\u00e9re \u00e1ll\u00f3 eszk\u00f6zeir\u0151l, pl. rendszereinek t\u00e1vel\u00e9r\u00e9s\u00e9re. Apple alap\u00fa rendszereken ugyan a PPTP VPN kliens is be\u00e9p\u00edtve megtal\u00e1lhat\u00f3, azonban, mint ezt eml\u00edtettem is, nem a legbiztons\u00e1gosabbnak kiki\u00e1ltott t\u00edpusa ez a VPN-eknek. Ami enn\u00e9l sokkalta jobb faktorral rendelkezik biztons\u00e1g szempontj\u00e1b\u00f3l, \u00e9s t\u00f6bb ma haszn\u00e1lt okostelefon is alapb\u00f3l t\u00e1mogatja, az L2TP VPN, IPSEC-kel \u00f6tv\u00f6zve. Sz\u00f3ljon most err\u0151l ez a bejegyz\u00e9s.<\/p>\n\n\n\n

VPN megold\u00e1sok II. \u2013 L2TP\/IPSEC VPN szerver<\/h2>\n\n\n\n

Mi az L2TP?<\/h3>\n\n\n\n

Az L2TP a Layer 2 Tunneling Protocol r\u00f6vid\u00edt\u00e9se. Az L2TP tulajdonk\u00e9ppen a m\u00e1r megismert PPTP protokollnak \u00e9s a Cisco Layer 2 Forwarding megold\u00e1s\u00e1nak az \u00f6sszeh\u00e1zas\u00edt\u00e1s\u00e1b\u00f3l sz\u00fcletett meg. PPP hiteles\u00edt\u00e9si m\u00f3dszert \u00e9s tunneling megold\u00e1st alkalmaz, ami alkalmas k\u00e9t egym\u00e1st\u00f3l elt\u00e9r\u0151 alh\u00e1l\u00f3zat \u00f6sszek\u00f6t\u00e9s\u00e9re, azonban titkos\u00edt\u00e1st \u00f6nmag\u00e1ban nem haszn\u00e1l, ez\u00e9rt \u00f6nmag\u00e1ban a m\u00f3dszer nem biztons\u00e1gos. Ez\u00e9rt gyakorlat szerint a IPSEC protokollk\u00e9szlettel \u00f6tv\u00f6zve alak\u00edtunk ki egy kevert megval\u00f3s\u00edt\u00e1st, ahol a tunnelt az L2TP, a biztons\u00e1got pedig az IPSEC szolg\u00e1ltatja. Tegy\u00fck mindezt OpenBSD platformon.<\/p>\n\n\n\n

Topol\u00f3gia<\/h3>\n\n\n\n
\"\"<\/a><\/figure><\/div>\n\n\n\n

Els\u0151 l\u00e9p\u00e9sek<\/h3>\n\n\n\n

Sajnos OpenBSD-n a sz\u00fcks\u00e9ges csomag telep\u00edt\u00e9s\u00e9t nem k\u00f6nny\u00edtett\u00e9k meg nek\u00fcnk a fejleszt\u0151k: a L2TP-t megval\u00f3s\u00edt\u00f3 daemon-t nem tal\u00e1ltam meg a legfrissebb port-tree-ben sem. K\u00e9nytelen voltam forr\u00e1sb\u00f3l feltelep\u00edteni, amit CVS-sel kellett let\u00f6ltenem, igaz, t\u00fal bonyolult ez sem volt:<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

Enn\u00e9l a pontn\u00e1l pihenj\u00fck kicsit (vagy igyunk meg egy j\u00f3 s\u00f6rt, a sorok \u00edr\u00e1sakor a k\u00fcls\u0151 h\u0151m\u00e9rs\u00e9klet is b\u0151ven 25 fok f\u00f6l\u00f6tt van), sz\u00e1molnunk kell a internet kapcsolatunk sebess\u00e9g\u00e9t\u0151l f\u00fcgg\u0151en 10-15 perccel.<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

K\u00f6r\u00fclbel\u00fcl \u00edgy \u00e9r v\u00e9get a forr\u00e1s-update. Ezut\u00e1n tegy\u00fck a k\u00f6vetkez\u0151ket:<\/p>\n\n\n\n

# cd \/usr\/src\/usr.sbin\/npppd
# make depend
# make
# make install<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

A csomagunk, mely a L2TP szerver m\u0171k\u00f6d\u00e9s\u00e9\u00e9rt k\u00f6zvetlen felel\u0151s lesz, fel lett telep\u00edtve. Eddig ok. Mi j\u00f6n m\u00e9g?<\/p>\n\n\n\n

Bizonyos, a helyes m\u0171k\u00f6d\u00e9shez elengedhetetlen kernel-param\u00e9tereket m\u00f3dos\u00edtanunk kell, ezek pedig:<\/p>\n\n\n\n

# sysctl net.inet.ip.forwarding=1<\/strong>
# sysctl net.inet.esp.enable=1     # Enable the ESP IPsec protocol<\/strong>
# sysctl net.inet.ah.enable=1      # Enable the AH IPsec protocol<\/strong>
# sysctl net.inet.ipcomp.enable=1  # Optional: compress IP datagrams<\/strong>
# sysctl net.pipex.enable=1<\/strong><\/p>\n\n\n\n

Ezeket persze \u00e9rdemes besz\u00farni az \/etc\/sysctl.confba, hogy \u00e9rv\u00e9nyes\u00fcljenek \u00fajraind\u00edt\u00e1s ut\u00e1n is. Majd l\u00e9tre kell hoznunk konfigur\u00e1ci\u00f3s \u00e1llom\u00e1nyt, amely hasonl\u00f3k\u00e9pp fog kin\u00e9zni :<\/p>\n\n\n\n

# cat \/etc\/npppd\/npppd.conf<\/strong>
interface_list:                         tun0
interface.tun0.ip4addr:                 172.16.0.1<\/p>\n\n\n\n

# IP address pool
pool.dyna_pool:                         172.16.0.0\/24<\/p>\n\n\n\n

# Local file authentication
auth.local.realm_list:                  local
auth.local.realm.acctlist:              \/etc\/npppd\/npppd-users.csv
realm.local.concentrate:                tun0<\/p>\n\n\n\n

lcp.mru:                                1400
auth.method:                            mschapv2 chap<\/p>\n\n\n\n

# L2TP daemon
l2tpd.enabled:                          true
l2tpd.ip4_allow:                        0.0.0.0\/0
#l2tpd.listener_in:                     L2TP 192.168.0.1
#l2tpd.purge_ipsec_sa:                  true
l2tpd.require_ipsec:               true
#l2tpd.accept_dialin:              true<\/p>\n\n\n\n

pptpd.enabled:                         false
pptpd.ip4_allow:                        0.0.0.0\/0<\/p>\n\n\n\n

pppoed.enabled:                         false
pipex.enabled:                     true<\/p>\n\n\n\n

Kell m\u00e9g egy \u201eadatb\u00e1zis\u201d, ahonnan az autentik\u00e1ci\u00f3s adatok lesznek feldolgozva, erre a fenti konfigban hivatkozik is egy sor:<\/p>\n\n\n\n

auth.local.realm.acctlist:              \/etc\/npppd\/npppd-users.csv<\/p>\n\n\n\n

# cat \/etc\/npppd\/npppd-users.csv<\/strong>
Username,Password,Framed-IP-Address,Framed-IP-Netmask,Description,Calling-Id
user1,secret,172.16.0.5,,memo for user1
user2,secret,172.16.0.6,,memo1 for user<\/p>\n\n\n\n

Nem el\u00edr\u00e1s, az els\u0151 sor az\u00e9rt nincs kikommentezve, mert az npppd nem fogja ezt figyelembe venni, hasonl\u00f3an, mintha RADIUS konfig volna. Viszont j\u00f3l l\u00e1that\u00f3, hogy mely oszlop mely autentik\u00e1ci\u00f3s adatnak fog megfelelni (username,pass, etc.) Tov\u00e1bb\u00e1 az IP c\u00edm, melyet kliens majd meg fog kapni a sikeres csatlakoz\u00e1skor. Ha ilyet nem adunk meg, akkor a \u2019pool.dyna_pool\u2019-ban deklar\u00e1lt IP poolb\u00f3l fog osztani egyet v\u00e9letlenszer\u0171en.<\/p>\n\n\n\n

Eddig sz\u00e9p \u00e9s j\u00f3, tulajdonk\u00e9ppen  a tunnel, TITKOS\u00cdT\u00c1S N\u00c9LK\u00dcL m\u00e1r most is m\u0171k\u00f6dne, de mi nem \u00e9rj\u00fck be ennyivel. \u00cdg\u00e9rt\u00fcnk IPSEC titkos\u00edt\u00e1st is. N\u00e9zz\u00fck meg ezt is. Ezt nek\u00fcnk az  \u2019isakmpd\u2019 daemon fogja biztos\u00edtani (ezt m\u00e1r szerencs\u00e9re nem kell k\u00fcl\u00f6n ford\u00edtanunk; megtal\u00e1lhat\u00f3 a disztrib\u00faci\u00f3ban). Hozzunk l\u00e9tre ennek is egy konfigur\u00e1ci\u00f3s \u00e1llom\u00e1nyt.<\/p>\n\n\n\n

# cat \/etc\/ipsec.conf<\/strong>
ike passive esp transport proto udp from 192.168.55.13 to any port 1701  main auth \u201chmac-sha1\u201d enc \u201c3des\u201d group modp1024 quick auth \u201chmac-sha1\u201d enc \u201caes\u201d  psk \u201cpassword<\/p>\n\n\n\n

Gyors magyar\u00e1zatk\u00e9nt a fentebbi ipsec.conf-hoz elmondhatjuk, hogy az IPSEC be\u00e1gyazott tunnel a 192.168.55.13-as IP-n fog v\u00e1rakozni, UDP 1701 portot haszn\u00e1lva. Az algoritmusokra, Diffie-Hellmann groupra most nem t\u00e9rn\u00e9k ki, a \u2019psk\u2019 azonban nek\u00fcnk m\u00e9g fontos lesz: a pre-shared-key nek\u00fcnk most a \u201epassword\u201d lesz (\u00e9rtelemszer\u0171en ezt a megosztott kulcsot, mely az encryption-h\u00f6z kell, \u00e9rdemes min\u00e9k bonyolultabbra be\u00e1ll\u00edtani (kis- \u00e9s nagybet\u0171, sz\u00e1m, speci\u00e1lis karakter)).<\/p>\n\n\n\n

Ha az el\u0151z\u0151ekben le\u00edrtakkal megvagyunk, ind\u00edtsuk el az isakmpd daemont, a k\u00f6vetkez\u0151 flagekkel:<\/p>\n\n\n\n

# isakmpd -4Kv<\/strong><\/p>\n\n\n\n

ahol a -4 jelenti, hogy csak IPv4-en szolg\u00e1ltat, a \u2013K azt, hogy az algoritmusokat k\u00fcls\u0151 alkalmaz\u00e1s szolg\u00e1ltatja (a mi eset\u00fcnkben az ipsec alkalmaz\u00e1s, a \u2013v pedig a b\u0151besz\u00e9d\u0171 logol\u00e1st).<\/p>\n\n\n\n

Ezut\u00e1n ind\u00edtsuk el az npppd daemont!<\/p>\n\n\n\n

# npppd \u2013d<\/strong> (ha szeretn\u00e9nk a konzolkimenetet l\u00e1tni, vagy \u2013D , ha daemonk\u00e9nt futtatjuk).<\/p>\n\n\n\n

Majd v\u00e9g\u00fcl olvastassuk be az isakmpd-nek a titkos\u00edt\u00e1si algoritmusokat:<\/p>\n\n\n\n

# ipsecctl  \u2013f \/etc\/ipsec.conf<\/strong><\/p>\n\n\n\n

Mivel, hasonl\u00f3an a PPTP-hez, nem tudunk egyedi routekoat leosztani, k\u00e9nytelen kelletlen a tunnelre fogjuk terelni az \u00f6sszes, nem helyi h\u00e1l\u00f3zati forgalmunkat (ill. ha tudjuk, mit csin\u00e1lunk, \u00e9s engedi a platform is kliens oldalon, adhatunk egyedi routeokat k\u00e9zzel is), \u00edgy a t\u0171zfalunkon NAT szab\u00e1lyt is kell megadnunk (\/etc\/pf.conf):<\/p>\n\n\n\n

pass out on tun0 to !em0  nat-to 192.168.55.13
pass out on em0  to !em0  nat-to 192.168.55.13<\/p>\n\n\n\n

\u00cdgy, mikor a nem-helyi forgalom a tunnelen kereszt\u00fcl a VPN szerver fel\u00e9 indul, \u00e9s ott nem ker\u00fcl be a tunnel m\u00e1sik oldal\u00e1n lev\u0151 h\u00e1l\u00f3zatba, hanem default gatewayen kereszt\u00fcl menne tov\u00e1bb, el\u0151bb NAT-olva lesz, lehet\u0151v\u00e9 t\u00e9ve az internettel val\u00f3 kommunik\u00e1ci\u00f3t.<\/p>\n\n\n\n

Szerveroldalr\u00f3l teh\u00e1t k\u00e9sz vagyunk. A k\u00f6vetkez\u0151kben n\u00e9zz\u00fck a kliens oldalt, legyen ez ak\u00e1r iPhone, Android, ill. Windows. Mivel Windoes kliens konfig m\u00e1r volt, iPhone-om pedig nincs, marad az Android platform, de minim\u00e1lis megfeleltet\u00e9ssel mindh\u00e1rom helyen ugyanezek lesznek  opci\u00f3k.<\/p>\n\n\n\n

Kliens config<\/h3>\n\n\n\n

A telefon itt egy Samsung Galaxy SII (GT-I9100), Android ICS 4.0.3-as OS-sel (gy\u00e1ri). L\u00e1ssuk.<\/p>\n\n\n\n

1., Alkalmaz\u00e1sok -> Be\u00e1ll\u00edt\u00e1sok -> Egyebek -> VPN<\/p>\n\n\n\n

Amint a \u2019VPN\u2019 men\u00fcre nyomunk, m\u00e1r j\u00f6n is a figyelmeztet\u00e9s:<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

Ide egy felold\u00f3 mint\u00e1t kell \u00e1ll\u00edtanunk, ugyanis a telefon ill. az Android komolyabb felold\u00e1si biztons\u00e1g n\u00e9lk\u00fcl nem hagyja, hogy VPN-t \u00e1ll\u00edtsunk be.<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

V\u00e1lasszuk a mint\u00e1t, \u00e9s rajzoljunk valamit \ud83d\ude42<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

Tudom, nem lihegtem t\u00fal, deh\u00e1t a teszt az teszt \ud83d\ude42 V\u00e1lasszunk a VPN h\u00e1l\u00f3zat hozz\u00e1ad\u00e1s\u00e1t:<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

V\u00e1lasszuk az L2TP\/IPSEC PSK m\u00f3dot. \u00cdrjuk be a VPN szerver K\u00dcLS\u0150 IP-j\u00e9t, majd adjuk meg a pre-shared key-t (amit ugye j\u00f3 bonyolultra \u00e1ll\u00edtottunk).<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

Ments\u00fck el a konfigot!<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

A VPN be\u00e1ll\u00edt\u00e1sunk k\u00e9sz. Tesztelj\u00fck! B\u00f6kj\u00fcnk r\u00e1, majd azonos\u00edtsuk magunkat!<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

Ha megadtuk az azonos\u00edt\u00f3t ill. jelsz\u00f3t, akkor \u201eKapcsol\u00f3d\u00e1s\u201d !<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

L\u00e1tjuk, hogy csatlakoztunk, ill. a bal fels\u0151 sarokban egy helyes kis kulcs ikon is jelzi, hogy biztons\u00e1gos h\u00e1l\u00f3zati kapcsolatunk akt\u00edv.<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

Ha pedig egy ping tesztet is vizsg\u00e1lunk, akkor l\u00e1tjuk, hogy teljes m\u00e9rt\u00e9kben sikeresen konfigur\u00e1ltunk mindk\u00e9t oldalon.<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

A titkos\u00edt\u00e1si szintet Androidon nem tudom megmutatni, azonban idev\u00e1gom a Windows 7 st\u00e1tusz\u00e1t (a be\u00e1ll\u00edt\u00e1sok pontr\u00f3l pontra megegyeznek!):<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

H\u00e1t, ennyi! Ad\u00f3s vagyok m\u00e9g egy log-r\u00e9szlettel,  csak hogy tudjuk, hogy kell vizsg\u00e1l\u00f3dnunk, ha b\u00e1rmi is nem m\u0171k\u00f6dik vagy egyszer\u0171en csak mert k\u00edv\u00e1ncsiak vagyunk:<\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

J\u00f3l l\u00e1tszik az isakmpd kezdet\u0171 sorokn\u00e1l az IPSEC kapcsolat fel\u00e9p\u00fcl\u00e9se, majd az npppd kezdet\u0171ekn\u00e9l a tunnel l\u00e9trej\u00f6tte.<\/p>\n\n\n\n

\u00d6sszegz\u00e9s<\/h3>\n\n\n\n

Az L2TP\/IPSEC a biztons\u00e1gos tunnelnek m\u00e1r egy j\u00f3val magasabb fok\u00e1t val\u00f3s\u00edtja meg (a titkos\u00edt\u00e1s AES 256 bit is lehet, mint l\u00e1tszik a k\u00e9pen, ez gyakorlatban nem t\u00f6rhet\u0151). Sajnos, ezzel ar\u00e1nyosan a szerveroldali konfigur\u00e1ci\u00f3ja is bonyolultabb\u00e1 v\u00e1lik. Az egyedi routeok kioszt\u00e1sa itt is csak komolyabb neh\u00e9zs\u00e9gek \u00e1r\u00e1n val\u00f3s\u00edthat\u00f3 meg (ha szerveroldal Windows AD, valamivel k\u00f6nnyebb). \u00c1m el\u0151ny\u00e9re mondhat\u00f3, hogy amint a cikk elej\u00e9n eml\u00edtettem, ez sem ig\u00e9nyel a legt\u00f6bb platformon 3rd party alkalmaz\u00e1st. Kinek-kinek  egy\u00e9ni \u00edzl\u00e9se, hogy VPN ir\u00e1nyban mire \u201eszakosodik\u201d, \u00e9n ezt a megold\u00e1st ink\u00e1bb a bemutat\u00f3 kedv\u00e9\u00e9rt konfigur\u00e1ltam be.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ez a post most dedik\u00e1ltan, k\u00fcl\u00f6n ig\u00e9nyre k\u00e9sz\u00fclt, Paluska Misi kom\u00e1mnak, a bloggazd\u00e1nak. Az el\u0151z\u0151 VPN-r\u0151l sz\u00f3l\u00f3 \u00edr\u00e1sban kifejezte ig\u00e9ny\u00e9t hozz\u00e1sz\u00f3l\u00e1s\u00e1ban olyan, a PPTP-n\u00e9l biztons\u00e1gosabb megold\u00e1sra, melyet \u0151 egyar\u00e1nt tudna haszn\u00e1lni a rendelkez\u00e9s\u00e9re \u00e1ll\u00f3 eszk\u00f6zeir\u0151l, pl. rendszereinek t\u00e1vel\u00e9r\u00e9s\u00e9re. Apple alap\u00fa rendszereken ugyan a PPTP VPN kliens is be\u00e9p\u00edtve megtal\u00e1lhat\u00f3, azonban, mint ezt eml\u00edtettem is, nem … „VPN megold\u00e1sok II. \u2013 L2TP\/IPSEC VPN szerver”<\/span> b\u0151vebben<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-300","post","type-post","status-publish","format-standard","hentry","category-blogpost"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/posts\/300","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=300"}],"version-history":[{"count":1,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/posts\/300\/revisions"}],"predecessor-version":[{"id":301,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/posts\/300\/revisions\/301"}],"wp:attachment":[{"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}