Debian L2TP (over IPSec) + iPhone + OSX = working

W końcu usiadłem do konfiguracji VPN’a, w końcu ja mam iPhone’a, moja żona też ma iPhone’a. W końcu nadchodzi taki moment, aby wszystkie urządzenia gadały między sobą w sposób nie widoczny dla innych.

Przygotowania:

Ciekawy i dość konkretny artykuł znalazłem na stronie Linux L2TP/IPSec with iPhone and Mac OS/X clients, jednak niestety okazało się, że nie wszystko jest tak jak bym chciał. Tak czy owak polecam artykuł, bo to co jest poniżej to wariacja na jego temat.

Wszystko do momentu pobierania źródeł Strongswan’a jest jak w wyżej załączonym linku, potem małe schody z budowaniem deb’a. Ale po kolei.

Do poprawnego działania strgonswan co prawda nie potrzebuje rekompilacji, ale w 80% przypadków będziemy ze swoim telefonem lub laptopem znajdowali się za NAT’em a tu niestety trzeba deko zaingerować w strongswan. Debian nie posiada wkompilowanej obsługi NAT’a.

Po kolei co trzeba zrobić (część poniższego jest kopią z zlinkowanej strony):

/etc/ipsec.conf ```

config setup # crlcheckinterval=600 # strictcrlpolicy=yes # cachecrls=yes nat_traversal=yes charonstart=yes plutostart=yes conn L2TP authby=psk pfs=no rekey=no type=tunnel esp=aes128-sha1 ike=aes128-sha-modp1024 left=your.ip.goes.here leftnexthop=%defaultroute leftprotoport=17/1701 right=%any rightprotoport=17/%any rightsubnetwithin=0.0.0.0/0 auto=add ` /etc/ipsec.secrets ```

your.ip.goes.here %any: PSK “yoursharedkeygoeshere”

$$ Teraz już zaczynamy deko wariować ;-) Pierwsze to sprawdzenie czy w naszym **/etc/apt/sources.list** są wpisy deb-src, pozwalające na ściąganie źródeł pakietów.$$

apt-get install build-essential fakeroot dpkg-dev devscripts apt-get source strongswan apt-get install libcurl4-openssl-dev apt-get build-dep strongswan cd strongswan-4.2.4/ dch -i

Za pomocą ulubionego edytora tekstowego, otwieramy plik **debian/rules** ``` #!/usr/bin/make -f # Sample debian/rules that uses debhelper. # GNU copyright 1997 to 1999 by Joey Hess. # Uncomment this to turn on verbose mode. export DH_VERBOSE=1 export DH_OPTIONS # this is a security-critical package, set all the options we can export DEB_BUILD_HARDENING=1 CONFIGUREARGS := --prefix=/usr --sysconfdir=/etc --localstatedir=/var \ --libexecdir=/usr/lib \ --enable-ldap --enable-curl \ --enable-nonblocking --enable-thread \ --enable-smartcard --enable-cisco-quirks \ --with-default-pkcs11=/usr/lib/opensc-pkcs11.so \ --enable-mediation --enable-medsrv --enable-medcli \ --enable-openssl --enable-agent \ --enable-eap-radius --enable-eap-identity --enable-eap-md5 \ --enable-eap-gtc --enable-eap-aka --enable-eap-mschapv2 \ --enable-sql \ --disable-aes --disable-des --disable-fips-prf --disable-gmp \ --disable-md5 --disable-sha1 --disable-sha2 \ --enable-nm (...)

Do CONFIGUREARGS odpisujemy –enable-nat-transport, w celu włączenia obsługi NAT’a

$$ dpkg-buildpackage -rfakeroot -uc -b$$

Powyższa komenda zbuduje nam pakiet debiana, jednak u mnie problem pojawił się ze źródłami libnm-glib-vpn, nie wiedzieć dlaczego ale instalator ich nie widział a pakiet zainstalowany był.

Nie ma czym się przejmować, linux to linux - nie zawsze trzeba zrobić wszystko “ładnie” - czasem wystarczy, tak aby działało:

$$ pkg-config --cflags libnm-glib-vpn$$

U mnie output był taki:

$$ -pthread -I/usr/include/libnm-glib -I/usr/include/NetworkManager -I/usr/include/glib-2.0 -I/usr/lib/glib-2.0/include -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include$$

Jeżeli pośpieszyliście się z dpkg-buildpackage to pewnie dostaliście informacje (o ile też problem występuje u Was) o sposobie poradzenia sobie z problemem, ja zrobiłem to prosto:

$$ nm_CFLAGS="-pthread -I/usr/include/libnm-glib -I/usr/include/NetworkManager -I/usr/include/glib-2.0 -I/usr/lib/glib-2.0/include -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include" export nm_CFLAGS nm_LIBS="/usr/include/NetworkManager/" export nm_LIBS$$

następnie, znany już:

$$ dpkg-buildpackage -rfakeroot -uc -b cd ../ ls -l |grep .deb -rw-r--r-- 1 root root 188328 09-18 11:57 libstrongswan_4.3.2-1.4_amd64.deb -rw-r--r-- 1 root root 70366 09-18 11:56 strongswan_4.3.2-1.4_all.deb -rw-r--r-- 1 root root 349814 09-18 11:57 strongswan-ikev1_4.3.2-1.4_amd64.deb -rw-r--r-- 1 root root 256576 09-18 11:57 strongswan-ikev2_4.3.2-1.4_amd64.deb -rw-r--r-- 1 root root 45092 09-18 11:57 strongswan-nm_4.3.2-1.4_amd64.deb -rw-r--r-- 1 root root 291452 09-18 11:57 strongswan-starter_4.3.2-1.4_amd64.deb$$

Tak to wygląda u mnie, u Was powinno podobnie.

Następnie instalujemy za pomocą dpkg -i pliki_deb

Jak to już jest zainstalowane to pierwszy etap za nami, teraz konfiguracja i instalacja xl2tpd, tu jest deko łatwiej:

$$ apt-get install xl2tpd$$

Konfigurujemy demona xl2tpd: /etc/xl2tpd/xl2tpd.conf ```

[global]
debug network = yes
debug tunnel = yes
[lns default]
ip range = 172.16.1.100-172.16.1.254
local ip = 172.16.1.1
require chap = yes
refuse pap = yes
require authentication = yes
name = pretasoft.pl
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

$$ Ustawiamy hasło globalne: **/etc/xl2tpd/l2tp-secrets** ``` # Secrets for authenticating l2tp tunnels # us them secret # * marko blah2 # zeus marko blah # * * interop * * haslo_globalne *$$

Opcje xl2tpd dla połączeń ppp /etc/ppp/options.xl2tpd ```

ipcp-accept-local
ipcp-accept-remote
ms-dns twoj_dns
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

$$ Plik chap z naszymi klientami VPN: **/etc/ppp/chap-secrets** ``` # Secrets for authentication using CHAP # client server secret IP addresses client1 * haslo1 * client2 * haslo2 *$$

Na samym końcu:

$$ /etc/init.d/ipsec start /etc/init.d/xl2tpd start$$

Taka konfiguracja u mnie działa i na iPhone’ach oraz OSX’ie.

Jak ktoś zauważył błąd to proszę o komentarze, powodzenia z VPN’em.