[Ninux-Calabria] tunnel l2tp

Vincenzo Pirrone linuspax a gmail.com
Mar 3 Giu 2014 16:06:07 CEST 

Settimana scorsa abbiamo fatto un real-case test con Stefano, mettendo
server su un 841 in HPCC (dietro una nanostation di test attaccata a spig)
e usando il mio 741 come client. Il test in linea di massima ha avuto esito
positivo, però ho dovuto ritoccare a mano la tabella di routing del client
perchè xl2tpd la modifica.

Il test è stato eseguito abilitando la CI su spig (era sera e nessuno se
n'è accorto, non scassate) perchè ci interessava questo use-case.

In pratica il mio router ha indirizzo backbone 172.17.87.20/16, in tabella
di routing questo si traduce in:

     host                        netmask
gateway            metric    iface
(1) 172.17.0.0               255.255.0.0
0.0.0.0              0           eth0.3

Che vuol dire che la subnet 172.17.0.0/16 è raggiungibile in l2

il server che abbiamo usato 172.17.87.99, per questo olsr ha inserito una
entry nella mia tabella di routing:

(2) 172.17.87.99             255.255.255.255           172.17.87.4
2           eth0.3

Che vuol dire che il 172.17.87.99 è raggiungibile tramite il GR di spig,
questa regola ha precedenza su quella di sopra perchè più specifica, per
questo per il traffico diretto a 172.17.87.99 non viene mandato in LAN ma
spedito a spig.

Una volta avviato il client l2tp questo imposta come default gateway
l'altro lato del tunnel:

(3)  0.0.0.0                     0.0.0.0
10.10.10.1       0            tun0

xl2tpd però da per scontato che l'endpoint del tunnel 172.17.87.99 stia in
lan, e aggiunge una regola verso questo

(4) 172.17.87.99             255.255.255.255            0.0.0.0
0            eth0.3

Che per metrica ha precedenza sulla (2), ma 172.17.87.99 non sta in lan,
pertanto per far funzionare il tunnel bisogna togliere a mano questa regola.

Quindi dobbiamo trovare il modo per impedire al demone di l2tp di
modificare la tabella di routing e aggiungere la (3) a mano.


Abbiamo anche provato a stabilire il tunnel impostando come server
l'indirizzo lan dell'841, ma non ha funzionato per motivi che non abbiamo
ancora identificato




Il giorno 18 maggio 2014 17:57, Giuseppe De Marco <demarcog83 a gmail.com> ha
scritto:

> Il 18 maggio 2014 13:38, Vincenzo Pirrone <linuspax a gmail.com> ha scritto:
> > Apro un nuovo thread
> > Ho installato xl2tpd sul mio PC, posto la configurazione
> >
> > spax a arch ~ $ cat /etc/xl2tpd/xl2tpd.conf
> > [lns default]
> > ip range = 10.10.10.2-10.10.10.254
> > local ip = 10.10.10.1
> > require chap = yes
> > refuse pap = yes
> > require authentication = yes
> > name = LinuxVPNserver
> > ppp debug = yes
> > pppoptfile = /etc/ppp/options.xl2tpd
> > length bit = yes
> >
> > spax a arch ~ $ cat /etc/ppp/options.xl2tpd
> > ipcp-accept-local
> > ipcp-accept-remote
> > mtu 1410
> > mru 1410
> > defaultroute
> > debug
> > lock
> > proxyarp
> > connect-delay 5000
> >
> > spax a arch ~ $ sudo cat /etc/ppp/chap-secrets
> > [sudo] password for spax:
> > # Secrets for authentication using CHAP
> > # client    server    secret            IP addresses
> >  "username"      "*"     "password"             "10.10.10.2"
> >
> > Ho avviato il server con xl2tpd -D
> >
> >
> > Sul mio router ho configurato la wan con protocollo l2tp, indicando come
> > server il mio PC e come credenziali quelle definite qui sopra, and it
> works
> >
> > l2tp rispetto a GRE ha autenticazione (seppur chap sia abbondantemente
> > bucato è sempre meglio di niente), supporto in Luci e soprattutto
> > autoconfigurazione degli IP
> >
> > xl2tpd in 4MB ci sta, quindi direi che abbiamo risolto il problema dei
> > tunnel
>
> che è quello che dicevo io:
>
> se luci come interfacce di rete ci consente pppoe, pptp e pppol2pt
> tantovale sfruttarle.
> Tu l'hai fatto, pertanto nzicchiamo sul firmware anche l2tp così il
> tunnel lo configuriamo e lo gestiamo tramite luci con tanto di
> firewall zone e quant'altro.
>
> attendo vostre conferme, intanto io il firmware con pptp e l2pt ce
> l'ho e non chiedetemi perchè ho lasciato anche pptp perchè poi ve lo
> spiego a 4 occhi :)
> _______________________________________________
> Calabria mailing list
> Calabria a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/calabria
>



-- 
Vincenzo Pirrone
Twitter: @spax_arm
PGP Key ID: 5CF5047D
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140603/25389b6e/attachment-0001.html>

Maggiori informazioni sulla lista Calabria