2011年12月15日
MEDIAS N-04C では L2TP/IPsec な VPN を使えないという罠
- 2011-12-15 (Thu)
- 一般
PPTP しか使えないという.でも SPモード入れてると PPTP 使えないから,つまりは VPN 使えない.
うーん,あさって発売の ARROWS X LTE F-05D に乗り換えようかなぁ.Xi なら携帯自身の通信とPC接続時の通信とを区別しないのでテザリングしたときにお買い得だし.Bluetooth も HID プロファイル入ってるし.
- Comments: 0
- TrackBack (Close): -
L2TP/IPsec な VPNサーバを Ubuntu 10.04 LTS で設定したメモ
- 2011-12-15 (Thu)
- ソフトウェア ( Linux/coLinux )
そこら辺の wifi を使いまくるとセキュリティ的に心配な時があるので,さくらのVPSでL2TP/IPsec な VPNサーバを作って安全な経路を確保することにしようと考えたのが約一週間前.論文修正とかの合間にやる気なく設定をいじっていたらようやく安定して使えるようになったのでメモっておく.
環境:10.04 LTS amd64 上で,kernel, ipsec, xl2tpd, ppp のバージョンはそれぞれ linux-image-2.6.32-36-server, 2.6.23+dfsg-1ubuntu1, 1.2.5+dfsg-1, 2.4.5~git20081126t100229-0ubuntu3 で.サーバ側にはLANが無いので 192.168.222.0/24 なLANをでっち上げて NAT する(192.168.222.1 をサーバの ppp0 に振って 192.168.222.X を VPN 接続してきたクライアントに振る).
とりあえず白鳥さんなどをインストール.ppp も入るはず.とりあえずX509の鍵は作らない方向でインストール.
sudo apt-get install openswan xl2tpd
ipsec の設定.sudo vi /etc/ipsec.conf で下記の内容にした.後半は /etc/ipsed.d/examples/l2tp-psk.conf の内容をコピーしてゴニョゴニョ弄った結果.
version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.168.222.0/24 oe=off protostack=netkey conn L2TP-PSK forceencaps=yes authby=secret pfs=no auto=add keyingtries=3 rekey=no ikelifetime=8h keylife=1h type=transport left=%defaultroute leftprotoport=17/1701 right=%any rightprotoport=17/%any
ついで sudo vi /etc/ipsec.secrets で秘密鍵の設定.最後に改行いれないと動かないとかいうバグもあったりなかったり?
: PSK "PRE SHARED KEY HERE"
次に xl2tpd の設定を sudo vi /etc/xl2tpd/xl2tpd.conf で以下のように.まあ,name とか要らない気もするのだけどいいか.
[global] [lns default] ip range = 192.168.222.2-192.168.222.32 local ip = 192.168.222.1 length bit = yes refuse chap = yes require authentication = yes name = l2tpd pppoptfile = /etc/ppp/options.l2tpd.lns
上の xl2tpd の設定で指定した ppp 部分の設定を sudo vi /etc/ppp/options.l2tpd.lns して以下のように.
require-mschap-v2 ms-dns YOUR_DNS_SERVER auth lock hide-password modem
そんで ppp用のユーザパスワードを sudo vi /etc/ppp/chap-secrets で書き込む.面倒なのでサーバ名とかワイルドカードで.
USERNAME * PASSWORD_HERE *
デーモン達の設定は以上で終わって,次にファイアウォールとかの設定を.とりあえず ufw で 500 (IKE)と 4500 (IPsec NAT-T) のUDPを開けておく.
sudo ufw allow 500/udp sudo ufw allow 4500/udp
ついで ufw では設定できない部分を sudo vi /etc/ufw/before.rules で設定.ESP を通すための設定と,xl2tpd を IPsec 以外から使えないようにする設定と,LAN の NAT をさせる設定とを適切な場所に追加.
## *filter に対応する COMMIT の手前に # for ESP protocol of IPsec -A INPUT -p 50 -j ACCEPT # restricts l2tp to be used under ipsec -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport l2tp -j ACCEPT -A INPUT -p udp -m udp --dport l2tp -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -p udp -m policy --dir out --pol ipsec -m udp --sport l2tp -j ACCEPT -A OUTPUT -p udp -m udp --sport l2tp -j REJECT --reject-with icmp-port-unreachable ## *filter の COMMIT の後に # nat Table rules *nat :POSTROUTING ACCEPT [0:0] # Forward traffic from 192.168.222.0/24 -A POSTROUTING -s 192.168.222.0/24 -j MASQUERADE # don't delete the 'COMMIT' line or these nat table rules won't be processed COMMIT # end of nat rules
さらにフォワーディングなどの設定を sudo vi /etc/ufw/sysctl.conf で下記のように変更.
net/ipv4/ip_forward=1 net/ipv4/conf/all/accept_redirects=0 net/ipv4/conf/all/send_redirects=0 net/ipv4/conf/default/accept_redirects=0 net/ipv4/conf/default/send_redirects=0 net/ipv4/conf/eth0/accept_redirects=0 net/ipv4/conf/eth0/send_redirects=0 net/ipv4/conf/lo/accept_redirects=0 net/ipv4/conf/lo/send_redirects=0
さらについでに sudo vi /etc/default/ufw で ufw のフォワーディングのデフォルト値を許可に変えておく.これをしておかないと ufw に全てブロックされて悲しくなる.
DEFAULT_FORWARD_POLICY="ACCEPT"
あとは再起動後に ipsec (というか pluto)がコケるのでその修正を.
sudo update-rc.d -f ipsec remove sudo update-rc.d ipsec defaults
ここまでやったら再起動して sudo ipsec verify でとりあえず ipsec の設定を確認.インターフェースが eth0, lo 以外にもあると send_redirects/accept_redirects を 0 にしろと怒られるかも? その場合は sudo vi /etc/ufw/sysctl.conf にその設定を追加して再起動.
多分,これくらいで動いているはず.フレッツ・スポット,b-mobile3G,自宅の NAT の下から windows 7で接続を確認.
TODO: ホストの認証を公開鍵にしたいなぁ.
嵌った所その1:Windows はレジストリをいじらないと IPsec NAT-T で通信できないらしい( http://jp.giganews.com/vyprvpn/setup/windows-7/l2tp.html ).つまり,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent に名前が AssumeUDPEncapsulationContextOnSendRule で値が 2 な32ビット値を書きこんでおく.
嵌った所その2:ESP の 50 はポート番号でなくプロトコル番号.PPTP の GRE もそうだけど.iptables や ufw の設定時に間違う.
嵌った所その3:/etc/ipsec.d/examples にある l2tp-psk のサンプル設定には rightsubnet=vhost:%priv が書かれていたのだけど,結果的にこいつがラスボスだった.これを書いておくと IPsec SA が確立しても xl2tpd がそれを使ってくれず通常の経路で通信しようとしてタイムアウト(つまり,クライアントが SCCRP を IPsec 経由で受け取ろうと待ち受けているのに xl2tpd が別経路でお返事するという状況.).tcpdump 使って次のようなログを見るまで気づかなかった.
01:12:32.024312 IP CLIENT.isakmp > SERVER.isakmp: isakmp: phase 1 I ident 01:12:32.050034 IP SERVER.isakmp > CLIENT.isakmp: isakmp: phase 1 R ident 01:12:32.116247 IP CLIENT.isakmp > SERVER.isakmp: isakmp: phase 1 I ident 01:12:32.139008 IP SERVER.isakmp > CLIENT.isakmp: isakmp: phase 1 R ident 01:12:32.168086 IP CLIENT.4500 > SERVER.4500: NONESP-encap: isakmp: phase 1 I ident[E] 01:12:32.179503 IP SERVER.4500 > CLIENT.4500: NONESP-encap: isakmp: phase 1 R ident[E] 01:12:32.191284 IP CLIENT.4500 > SERVER.4500: NONESP-encap: isakmp: phase 2/others I oakley-quick[E] 01:12:32.216654 IP SERVER.4500 > CLIENT.4500: NONESP-encap: isakmp: phase 2/others R oakley-quick[E] 01:12:32.228251 IP CLIENT.4500 > SERVER.4500: NONESP-encap: isakmp: phase 2/others I oakley-quick[E] 01:12:32.231720 IP CLIENT.4500 > SERVER.4500: UDP-encap: ESP(spi=0xbb2d745c,seq=0x1), length 148 01:12:33.232121 IP CLIENT.4500 > SERVER.4500: UDP-encap: ESP(spi=0xbb2d745c,seq=0x2), length 148 # この次のが ESP でないといけないのに生のまま…… 01:12:34.233618 IP SERVER.l2f > CLIENT.l2f: l2tp:[TLS](16/0)Ns=0,Nr=1 *MSGTYPE(SCCRP) *PROTO_VER(1.0) *FRAMING_CAP(AS) *BEARER_CAP() |... 01:12:34.233824 IP SERVER.l2f > CLIENT.l2f: l2tp:[TLS](15/0)Ns=1,Nr=1 *MSGTYPE(StopCCN) *ASSND_TUN_ID(56876) *RESULT_CODE(1/0 Timeout) 01:12:34.234186 IP SERVER.l2f > CLIENT.l2f: l2tp:[TLS](16/0)Ns=0,Nr=1 ZLB # クライアントが SCCRP を受け取れないので再び問い合わせる.以下繰り返し. 01:12:35.232021 IP CLIENT.4500 > SERVER.4500: UDP-encap: ESP(spi=0xbb2d745c,seq=0x3), length 148
とりあえず困ったときの tcpdump .Windows だと wireshark つかうけど.
困ったときの debug 設定.
# /etc/ipsec.conf の config setup のところに klipsdebug=all plutodebug=all # xl2tpd.conf の [global] のところに debug tunnel = yes debug avp = yes debug network = yes debug state = yes debug packet = yes
- Comments: 0
- TrackBack (Close): -
早朝から迷惑メールフォルダがいっぱい
- 2011-12-15 (Thu)
- 一般
以下,タイトルと時間と本文.
「大事にできるかについて」(4:55)emokenさん 前よりは大事にできると思う。だけど、それで幸福になるかどうかは本人の問題で、私の問題じゃない 転送のみならじゃあemokenさんに送ったメールを〇〇さんに見せてもよい「あと」(4:59)
個人情報が迷惑ならはじめの自己紹介やめたらいいんじゃないか「Re: あと」(5:05)
つまり個人情報をたずねる意味合いも問われてしかるべきなんじゃ「見えてる?」(5:08)
(本文なし)「可能なら応答せよ」(5:09)
(本文なし)「読まなくてよい旨」(5:16)
二度とメール送ってくるなって言ってたのに送ったから、読まなくてよい気がした
まあ,スパムコメントもそうだけど迷惑メールもどうでもいい内容を短時間に細かく分けて大量に送ってくるんだよなぁ.今日来たのなんかただの誰かのつぶやきを見ているようにしか見えん.
そういやスパムツイートとかは無いのだろうか? bot は沢山いるけど迷惑な bot は見たこと無い気がする.
- Comments: 0
- TrackBack (Close): -