Господа прошу помощи!
Задача: настроить vpn для клиентов которые подключаются из инетернетов, и смогут получить доступ к локальной сети компании (MS AD, т.е. подключаются используюя доменные логин пароль) Для этого поднят впн сервер, находится он за 2 натами, с этим проблем нет - простреливает. Пакеты openswan, xl2tpd и pppd, все из портежа самые свежие. Linux vpn03 3.8.4-gentoo #6 SMP Wed Mar 27 19:53:13 KRAT 2013 i686 Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz GenuineIntel GNU/Linux Вот конифги:
http://pastebin.com/7tVh5QhP - options.x2ltpd
http://pastebin.com/ahM3iV3p - x2ltpd.conf
http://pastebin.com/furSEkx8 - ipsec.conf
настройки /etc/ppp/radiusclient.conf приводить не буду там все тривиально. nat на машине настроен. IPsec verify везде говорит что все ок.
xl2tpd -D дает такую инфу: xl2tpd[4624]: setsockopt recvref[30]: Protocol not available
xl2tpd[4624]: L2TP kernel support not detected (try modprobing l2tp_ppp and pppol2tp)
xl2tpd[4624]: consider_pidfile: There's already a xl2tpd server running.
Как я выяснил эти модули подгружать не стоит, тогда вообще работать ничего не будет. Тем не менее попробовать их загрузить не смог - в ядре их попросту нет или называются они как то по другому. Кстати о ядре. Большинство нужных вещей собраны модулями, на список нужных ориентировался по этому: http://blackpenguins.ru/?p=151. Теперь собственно проблема: в винде(7/8) предварительно поправив ключ в реестре создаю подключение, выставляю обязательно шифрование и использование ms-chap-v2. Не подключается, если ставишь необязательное шифрование и chap - подключается. Политика на радиус сервере разрешает оба способа подключения.
Итак логи когда отлупливает:
/var/log/auth.log http://pastebin.com/fZwk09D6 (x.x.x.x и c.c.c.c это vpn ip наружу и внутри)
/var/log/messages http://pastebin.com/kp0WBDzc
/var/log/debug http://pastebin.com/73iFN9tE
plutolog который указан в ipsec.conf тупо молчит. Но видно что проблема где то между xl2tpd и pppd. Поэтому сам ipsec думаю не при чем. Вообще суть работы всей этой шняги я понимаю так: клиент стучит на порт 4500 серверу, просыпается pluto они обмениваются ключами, потом пинается xl2tpd он поднимает тунель и пинает pppd который авторизует, т.е. по сути chap/mschapv2 и обязательное/необязательное роли не играет т.к. пароли летят уже по шифрованному тунелю(якобы). Но после многодневных чтений мануалов у меня закрались сомнения что: у меня нихера не секурно, а так же соединение можно поднять и без ipsec, что как бы неправильно.
С почтением прошу людей секущих фишку вразумить дабы понять что я делаю не так и в чем не прав. Челом бью.