[Ninux-Calabria] tunnel l2tp

Giuseppe De Marco demarcog83 a gmail.com
Mar 3 Giu 2014 14:36:04 UTC


Il 03 giugno 2014 16:06, Vincenzo Pirrone <linuspax a gmail.com> ha scritto:
> Settimana scorsa abbiamo fatto un real-case test con Stefano, mettendo
> server su un 841 in HPCC (dietro una nanostation di test attaccata a spig) e
> usando il mio 741 come client. Il test in linea di massima ha avuto esito
> positivo, però ho dovuto ritoccare a mano la tabella di routing del client
> perchè xl2tpd la modifica.
>
> Il test è stato eseguito abilitando la CI su spig (era sera e nessuno se n'è
> accorto, non scassate) perchè ci interessava questo use-case.
>
> In pratica il mio router ha indirizzo backbone 172.17.87.20/16, in tabella
> di routing questo si traduce in:
>
>      host                        netmask                       gateway
> metric    iface
> (1) 172.17.0.0               255.255.0.0                   0.0.0.0
> 0           eth0.3
>
> Che vuol dire che la subnet 172.17.0.0/16 è raggiungibile in l2
>
> il server che abbiamo usato 172.17.87.99, per questo olsr ha inserito una
> entry nella mia tabella di routing:
>
> (2) 172.17.87.99             255.255.255.255           172.17.87.4       2
> eth0.3
>
> Che vuol dire che il 172.17.87.99 è raggiungibile tramite il GR di spig,
> questa regola ha precedenza su quella di sopra perchè più specifica, per
> questo per il traffico diretto a 172.17.87.99 non viene mandato in LAN ma
> spedito a spig.
>
> Una volta avviato il client l2tp questo imposta come default gateway l'altro
> lato del tunnel:
>
> (3)  0.0.0.0                     0.0.0.0                          10.10.10.1
> 0            tun0
>
> xl2tpd però da per scontato che l'endpoint del tunnel 172.17.87.99 stia in
> lan, e aggiunge una regola verso questo
>
> (4) 172.17.87.99             255.255.255.255            0.0.0.0
> 0            eth0.3
>
> Che per metrica ha precedenza sulla (2), ma 172.17.87.99 non sta in lan,
> pertanto per far funzionare il tunnel bisogna togliere a mano questa regola.
>
> Quindi dobbiamo trovare il modo per impedire al demone di l2tp di modificare
> la tabella di routing e aggiungere la (3) a mano.
>
>
> Abbiamo anche provato a stabilire il tunnel impostando come server
> l'indirizzo lan dell'841, ma non ha funzionato per motivi che non abbiamo
> ancora identificato
>
>
>
>
> Il giorno 18 maggio 2014 17:57, Giuseppe De Marco <demarcog83 a gmail.com> ha
> scritto:
>>
>> Il 18 maggio 2014 13:38, Vincenzo Pirrone <linuspax a gmail.com> ha scritto:
>> > Apro un nuovo thread
>> > Ho installato xl2tpd sul mio PC, posto la configurazione
>> >
>> > spax a arch ~ $ cat /etc/xl2tpd/xl2tpd.conf
>> > [lns default]
>> > ip range = 10.10.10.2-10.10.10.254
>> > local ip = 10.10.10.1
>> > require chap = yes
>> > refuse pap = yes
>> > require authentication = yes
>> > name = LinuxVPNserver
>> > ppp debug = yes
>> > pppoptfile = /etc/ppp/options.xl2tpd
>> > length bit = yes
>> >
>> > spax a arch ~ $ cat /etc/ppp/options.xl2tpd
>> > ipcp-accept-local
>> > ipcp-accept-remote
>> > mtu 1410
>> > mru 1410
>> > defaultroute
>> > debug
>> > lock
>> > proxyarp
>> > connect-delay 5000
>> >
>> > spax a arch ~ $ sudo cat /etc/ppp/chap-secrets
>> > [sudo] password for spax:
>> > # Secrets for authentication using CHAP
>> > # client    server    secret            IP addresses
>> >  "username"      "*"     "password"             "10.10.10.2"
>> >
>> > Ho avviato il server con xl2tpd -D
>> >
>> >
>> > Sul mio router ho configurato la wan con protocollo l2tp, indicando come
>> > server il mio PC e come credenziali quelle definite qui sopra, and it
>> > works
>> >
>> > l2tp rispetto a GRE ha autenticazione (seppur chap sia abbondantemente
>> > bucato è sempre meglio di niente), supporto in Luci e soprattutto
>> > autoconfigurazione degli IP
>> >
>> > xl2tpd in 4MB ci sta, quindi direi che abbiamo risolto il problema dei
>> > tunnel
>>
>> che è quello che dicevo io:
>>
>> se luci come interfacce di rete ci consente pppoe, pptp e pppol2pt
>> tantovale sfruttarle.
>> Tu l'hai fatto, pertanto nzicchiamo sul firmware anche l2tp così il
>> tunnel lo configuriamo e lo gestiamo tramite luci con tanto di
>> firewall zone e quant'altro.
>>
>> attendo vostre conferme, intanto io il firmware con pptp e l2pt ce
>> l'ho e non chiedetemi perchè ho lasciato anche pptp perchè poi ve lo
>> spiego a 4 occhi :)

Io l'ho capito perchè l'hai lasciato e credimi è la stessa ragione per
la quale l'ho tirato di mezzo.
A buoni intenditori poche parole ma ancora dobbiamo decidere se fare
ilGRE o l2pt.
Non c'è fretta, sia sperimentazione :)
G


Maggiori informazioni sulla lista Calabria