Wiki

• FrontPage
• RecentChanges
• FindPage
• HelpContents
• ru/xl2tpd/xl2tpd.conf/man

VPN >> xl2tpd >> ?файл для настройки L2TPD >> Руководство xl2tpd.conf

Руководство xl2tpd.conf(5)

НАЗВАНИЕ

• xl2tpd.conf — файл для настройки L2TPD

ОПИСАНИЕ

• Файл xl2tpd.conf содержит различную информацию о настройках для xl2tpd, реализации протокола l2tp.

  • Файл с настройками состоит из различных нескольких разделов и параметров. Каждому разделу присвоено определённое имя, которое в дальнейшем будет использоваться при установке настроек FIFO (обычно /var/run/l2tp-control Подробнее на ?xl2tpd(8)).

  Значение по-умолчанию для соответствующего параметра в разделе будет использоваться во всех остальных разделах как значение по-умолчанию.

ГЛОБАЛЬНАЯ СЕКЦИЯ

• auth file
  • Указывает путь к файлу аутентификации для использования в целях аутентификации l2tp-туннелей. Значение по-умолчанию: /etc/l2tpd/l2tp-secrets.
  ipsec saref

  • Включить отслеживание IPsec Security Association ? Когда этот параметр включен (значение "yes"), то подразумевается, что сетевые пакеты, полученные xl2tpd от VPN-клиентов, должны будут содержать в себе дополнительные поля (refme и refhim), которые позволяют отслеживать работу нескольких VPN-клиентов под одним и тем же приватным IP-адресом за NAT (на текущем сервере), а также позволяет отслеживать работу нескольких VPN-клиентов за одним и тем же маршрутизатором с функцией NAT (на стороне клиента). Обратите внимание, что необходимо, чтобы эта функция openswan поддерживалась ядром. На данный момент, возможность поддерживается только с Openswan KLIPS в режиме "mast". (подробнее на http://www.openswan.org/)

    • Установите значение данного параметра в "yes" и операционная система обеспечит установку соответствующих свойств SAref в системных вызовах recvmsg().
    Значением может быть "yes" или "no". Значение по-умолчанию - no
  saref refinfo
  • При использовании отслеживания IPsec Security Association используется вызов setsockopt() с обновлёнными параметрами. Так как это не официальный (пока ещё) вариант ядра Linux, то нам потребуется найти выход из следующей ситуации. В openswan для версий ядра Linux до 2.6.35 использовалось число Saref 22. Версия ядра Linux от 3.6.36 и выше использует число 22 для "IP_NODEFRAG" (то есть оно зарезервировано операционной системой для иных задач). Мы переместили наш флаг "IP_IPSEC_REFINFO" в значение 30. Если значение данного параметра не установлено, то по-умолчанию используется число 30. Для старых ядер Saref с накатанными патчами просто используйте привычное число 22.
  listen-addr
  • IPv4-адрес интерфейса, который будет слушать демон. По-умолчанию, демон прослушивает "INADDR_ANY" (0.0.0.0), то есть он слушает все доступные в операционной системе сетевые интерфейсы.
  port
  • Указывает порт UDP, который должен использовать xl2tpd. Значение по-умолчанию - 1701.
  access control
  • Если установлено значение "yes", то процесс xl2tpd будет принимать соединения только от пиров, адреса которых указаны в последующих разделах. Значение по-умолчанию - no
  debug avp
  • Установите значение в "yes" для того, чтобы включить поля AVP в вывод через журнал syslog среди остальной отладочной L2TP-информации.
  debug network
  • Установите значение в "yes" для того, чтобы включить отладочную информацию о сети в вывод через журнал syslog.
  debug packet
  • Установите значение в "yes" для того, чтобы включить отображение различной отладочной информации об L2TP-пакете. Обратите внимание: так как вывод направляется на STDOUT, поэтому используйте этот параметр только совместно с параметром-ключём командной строки "-D"
  debug state
  • Установите значение в "yes" для того, чтобы включить вывод отладочной информации об FSM (Finite-State Machine, конечный автомат) через syslog.
  debug tunnel
  • Установите значение в "yes" для того, чтобы включить вывод отладочной информации о туннеле через syslog.

LNS СЕКЦИЯ (СЕКЦИЯ ДЛЯ СЕРВЕРА)

• exclusive
  • Если значение установлено в "yes", то будет разрешено создание только одного управляющего туннеля между двумя пирами (Примечание: peer 1 - VPN-клиент, peer 2 - VPN-сервер). ПРОВЕРЬТЕ
  (no) ip range
  • Указывает диапазон IPv4-адресов, которые LNS (VPN-сервер) будет назначать туннелям PPP от подключающихся LAC (VPN-клиентов). Можно указать несколько диапазонов. При помощи значения "no" можно запретить использование конкретно указанного диапазона. Диапазоны указываются в формате IPv4 - IPv4 (например: 1.1.1.1 - 1.1.1.10). Обратите внимание, что в параметре "ip range" должен быть определён как минимум один диапазон, или же вы должны установить в параметре "assign ip" значение "no".
  assign ip
  • Установите значение в "no" для того, чтобы xl2tpd не назначал IP-адреса из диапазона, определенного параметром "ip range". Это необходимо только в том случае, если вы используете различные внешние средства для назначения IP-адресов, т.н. используется pppd с поддержкой RADIUS AAA.
  (no) lac
  • Указывает IPv4-адреса LAC’ов, которым разрешено устанавливать соединения с xl2tpd, выступающим в роли LNS. Формат полностью совпадает с форматом параметра "ip range".
  hidden bit
  • Если значение установлено в "yes", то xl2tpd будет использовать функционал L2TP для сокрытия полей AVP. За дополнительной информацией о возможностях сокрытия полей AVP и о полях AVP в общем представлении, обратитесь к RFC 2661.
  local ip
  • Использовать указанный IPv4, в качестве собственного IP-адреса для xl2tpd.
  length bit
  • Если значение установлено в "yes", то будет использован бит длины, указывающий полезную нагрузку (payload) l2tp-пакета.
  (refuse | require) chap
  • Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации по протоколу CHAP.
  (refuse | require) pap
  • Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации по протоколу PAP.
  (refuse | require) authentication
  • Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации.
  unix authentication
  • Если значение установлено в "yes", то для PPP-аутентификации удалённого peer'а (VPN-клиента) будет использоваться unix-аутентификация, то есть пара "логин:пароль" берётся из локального "/etc/passwd", используемого операционной системой, в которой запущен xl2tpd.
  hostname
  • Укажите имя узла, которое xl2tpd будет отправлять пиру (VPN-клиенту) в процессе согласования подключения с удалённым пиром.
  ppp debug
  • Данный параметр включает режим отладки для pppd.
  pppoptfile
  • Указывает путь к файлу, содержащему параметры настройки pppd.
  call rws
  • Этот параметр не рекомендуется к использованию и в дальнейшем не поддерживается. Параметр использовался для указания размера окна (управления потоком передачи данных), в рамках отдельных L2TP-вызовов или L2TP-сеансов. В стандарте L2TP (RFC2661) этот параметр более не рассматривается (удалён).
  tunnel rws
  • Определяет размер окна управляющего канала. Размер окна определён как число просроченных неподтверждённых пакетов, а не как число байтов.
  flow bits
  • Если значение установлено в "yes", то в пакеты будут добавляться порядковые номера. Использование данной функции в настоящий момент невозможно.
  challenge
  • Если значение установлено в "yes", то для аутентификации peer'а (VPN-клиента) используется режим запрос-ответ.
  rx bps
  • Если значение указано, то максимальная пропускная способность канала для операции "receive" (получать) будет установлена в это значение
  tx bps
  • Если значение указано, то максимальная пропускная способность канала для операции "transmit" (отдавать) будет установлена в это значение

LAC СЕКЦИЯ (СЕКЦИЯ ДЛЯ КЛИЕНТА)

• Далее описываются параметры настройки xl2tpd для использования в качестве VPN-клиента (LAC). Большинство параметров, описанных в секции для настройки xl2tpd в качестве VPN-сервера (LNS), могут использоваться в контексте LAC, в котором они также полноценно функционируют (особенно при тонкой настройке параметров, относящихся к протоколу l2tp и аутентификации / ppp).
  • lns
    • Указать DNS-имя хоста или IPv4-адрес LNS, к которому будет произведена попытка подключения.
    redial
    • Если значение установлено в "yes", то xl2tpd попытается повторно установить соединение, при его потере (дисконнекте).
    redial timeout
    • Сколько ждать секунд перед повторной попыткой установки соединения с LNS? Для того чтобы использовать этот параметр, параметр "redial" должен быть установлен в "yes".
    max redial
    • Сколько раз пытаться повторно установить соединение с LNS?

ФАЙЛЫ

ОШИБКИ

• Пожалуйста, отправляйте сообщения об обнаруженных ошибках и комментарии на адрес xl2tpd-dev@xelerance.com

СМОТРИТЕ ТАКЖЕ

• xl2tpd(8)

АВТОРЫ

• Разработка основана на xl2tpd фирмой Xelerance (http://www.xelerance.com/software/xl2tpd/

  Майкл Ричардсон (Michael Richardson) <mcr@xelerance.com> Пол Уотерс (Paul Wouters) <paul@xelerance.com>

  Особая благодарность Жако де Лию (Jacco de Leeuw) <jacco2@dds.nl> за поддержку l2tpd.

  Прежние разработки располагались на sourceforge (http://www.sourceforge.net/projects/l2tpd):

• Скотом Балмосом (Scott Balmos) <sbalmos@iglou.com>

  Дэвидом Стипп (David Stipp) <dstipp@one.net>

  Джефом ?МакАдамсом (Jeff ?McAdams) <jeffm@iglou.com>

• xl2tpd основан на l2tpd версии 0.60 Copyright (C)1998 Adtran, Inc.

• Марк Спенсер (Mark Spencer) <markster@marko.net>

Ссылки

• ru/VPN — VPN

• ru/xl2tpd — xl2tpd

• ru/xl2tpd/man — Руководство xl2tpd(8)

• ?ru/xl2tpd.conf — xl2tpd.conf, файл для настройки L2TPD