VPN >> xl2tpd >> ?файл для настройки L2TPD >> Руководство xl2tpd.conf
Contents
Руководство xl2tpd.conf(5)
НАЗВАНИЕ
- xl2tpd.conf — файл для настройки L2TPD
ОПИСАНИЕ
- Файл xl2tpd.conf содержит различную информацию о настройках для xl2tpd, реализации протокола l2tp.
Файл с настройками состоит из различных нескольких разделов и параметров. Каждому разделу присвоено определённое имя, которое в дальнейшем будет использоваться при установке настроек FIFO (обычно /var/run/l2tp-control Подробнее на ?xl2tpd(8)).
ГЛОБАЛЬНАЯ СЕКЦИЯ
- auth file
- Указывает путь к файлу аутентификации для использования в целях аутентификации l2tp-туннелей. Значение по-умолчанию: /etc/l2tpd/l2tp-secrets.
Включить отслеживание IPsec Security Association ? Когда этот параметр включен (значение "yes"), то подразумевается, что сетевые пакеты, полученные xl2tpd от VPN-клиентов, должны будут содержать в себе дополнительные поля (refme и refhim), которые позволяют отслеживать работу нескольких VPN-клиентов под одним и тем же приватным IP-адресом за NAT (на текущем сервере), а также позволяет отслеживать работу нескольких VPN-клиентов за одним и тем же маршрутизатором с функцией NAT (на стороне клиента). Обратите внимание, что необходимо, чтобы эта функция openswan поддерживалась ядром. На данный момент, возможность поддерживается только с Openswan KLIPS в режиме "mast". (подробнее на http://www.openswan.org/)
- Установите значение данного параметра в "yes" и операционная система обеспечит установку соответствующих свойств SAref в системных вызовах recvmsg().
- При использовании отслеживания IPsec Security Association используется вызов setsockopt() с обновлёнными параметрами. Так как это не официальный (пока ещё) вариант ядра Linux, то нам потребуется найти выход из следующей ситуации. В openswan для версий ядра Linux до 2.6.35 использовалось число Saref 22. Версия ядра Linux от 3.6.36 и выше использует число 22 для "IP_NODEFRAG" (то есть оно зарезервировано операционной системой для иных задач). Мы переместили наш флаг "IP_IPSEC_REFINFO" в значение 30. Если значение данного параметра не установлено, то по-умолчанию используется число 30. Для старых ядер Saref с накатанными патчами просто используйте привычное число 22.
- IPv4-адрес интерфейса, который будет слушать демон. По-умолчанию, демон прослушивает "INADDR_ANY" (0.0.0.0), то есть он слушает все доступные в операционной системе сетевые интерфейсы.
- Указывает порт UDP, который должен использовать xl2tpd. Значение по-умолчанию - 1701.
- Если установлено значение "yes", то процесс xl2tpd будет принимать соединения только от пиров, адреса которых указаны в последующих разделах. Значение по-умолчанию - no
- Установите значение в "yes" для того, чтобы включить поля AVP в вывод через журнал syslog среди остальной отладочной L2TP-информации.
- Установите значение в "yes" для того, чтобы включить отладочную информацию о сети в вывод через журнал syslog.
- Установите значение в "yes" для того, чтобы включить отображение различной отладочной информации об L2TP-пакете. Обратите внимание: так как вывод направляется на STDOUT, поэтому используйте этот параметр только совместно с параметром-ключём командной строки "-D"
- Установите значение в "yes" для того, чтобы включить вывод отладочной информации об FSM (Finite-State Machine, конечный автомат) через syslog.
- Установите значение в "yes" для того, чтобы включить вывод отладочной информации о туннеле через syslog.
LNS СЕКЦИЯ (СЕКЦИЯ ДЛЯ СЕРВЕРА)
- exclusive
- Если значение установлено в "yes", то будет разрешено создание только одного управляющего туннеля между двумя пирами (Примечание: peer 1 - VPN-клиент, peer 2 - VPN-сервер). ПРОВЕРЬТЕ
- Указывает диапазон IPv4-адресов, которые LNS (VPN-сервер) будет назначать туннелям PPP от подключающихся LAC (VPN-клиентов). Можно указать несколько диапазонов. При помощи значения "no" можно запретить использование конкретно указанного диапазона. Диапазоны указываются в формате IPv4 - IPv4 (например: 1.1.1.1 - 1.1.1.10). Обратите внимание, что в параметре "ip range" должен быть определён как минимум один диапазон, или же вы должны установить в параметре "assign ip" значение "no".
- Установите значение в "no" для того, чтобы xl2tpd не назначал IP-адреса из диапазона, определенного параметром "ip range". Это необходимо только в том случае, если вы используете различные внешние средства для назначения IP-адресов, т.н. используется pppd с поддержкой RADIUS AAA.
- Указывает IPv4-адреса LAC’ов, которым разрешено устанавливать соединения с xl2tpd, выступающим в роли LNS. Формат полностью совпадает с форматом параметра "ip range".
- Если значение установлено в "yes", то xl2tpd будет использовать функционал L2TP для сокрытия полей AVP. За дополнительной информацией о возможностях сокрытия полей AVP и о полях AVP в общем представлении, обратитесь к RFC 2661.
- Использовать указанный IPv4, в качестве собственного IP-адреса для xl2tpd.
- Если значение установлено в "yes", то будет использован бит длины, указывающий полезную нагрузку (payload) l2tp-пакета.
- Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации по протоколу CHAP.
- Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации по протоколу PAP.
- Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации.
- Если значение установлено в "yes", то для PPP-аутентификации удалённого peer'а (VPN-клиента) будет использоваться unix-аутентификация, то есть пара "логин:пароль" берётся из локального "/etc/passwd", используемого операционной системой, в которой запущен xl2tpd.
- Укажите имя узла, которое xl2tpd будет отправлять пиру (VPN-клиенту) в процессе согласования подключения с удалённым пиром.
- Данный параметр включает режим отладки для pppd.
- Указывает путь к файлу, содержащему параметры настройки pppd.
- Этот параметр не рекомендуется к использованию и в дальнейшем не поддерживается. Параметр использовался для указания размера окна (управления потоком передачи данных), в рамках отдельных L2TP-вызовов или L2TP-сеансов. В стандарте L2TP (RFC2661) этот параметр более не рассматривается (удалён).
- Определяет размер окна управляющего канала. Размер окна определён как число просроченных неподтверждённых пакетов, а не как число байтов.
- Если значение установлено в "yes", то в пакеты будут добавляться порядковые номера. Использование данной функции в настоящий момент невозможно.
- Если значение установлено в "yes", то для аутентификации peer'а (VPN-клиента) используется режим запрос-ответ.
- Если значение указано, то максимальная пропускная способность канала для операции "receive" (получать) будет установлена в это значение
- Если значение указано, то максимальная пропускная способность канала для операции "transmit" (отдавать) будет установлена в это значение
LAC СЕКЦИЯ (СЕКЦИЯ ДЛЯ КЛИЕНТА)
- Далее описываются параметры настройки xl2tpd для использования в качестве VPN-клиента (LAC). Большинство параметров, описанных в секции для настройки xl2tpd в качестве VPN-сервера (LNS), могут использоваться в контексте LAC, в котором они также полноценно функционируют (особенно при тонкой настройке параметров, относящихся к протоколу l2tp и аутентификации / ppp).
- lns
- Указать DNS-имя хоста или IPv4-адрес LNS, к которому будет произведена попытка подключения.
- Если значение установлено в "yes", то xl2tpd попытается повторно установить соединение, при его потере (дисконнекте).
- Сколько ждать секунд перед повторной попыткой установки соединения с LNS? Для того чтобы использовать этот параметр, параметр "redial" должен быть установлен в "yes".
- Сколько раз пытаться повторно установить соединение с LNS?
- lns
ФАЙЛЫ
ОШИБКИ
Пожалуйста, отправляйте сообщения об обнаруженных ошибках и комментарии на адрес xl2tpd-dev@xelerance.com
СМОТРИТЕ ТАКЖЕ
- xl2tpd(8)
АВТОРЫ
Разработка основана на xl2tpd фирмой Xelerance (http://www.xelerance.com/software/xl2tpd/
Майкл Ричардсон (Michael Richardson) <mcr@xelerance.com> Пол Уотерс (Paul Wouters) <paul@xelerance.com>
Особая благодарность Жако де Лию (Jacco de Leeuw) <jacco2@dds.nl> за поддержку l2tpd.
Прежние разработки располагались на sourceforge (http://www.sourceforge.net/projects/l2tpd):
Скотом Балмосом (Scott Balmos) <sbalmos@iglou.com>
Дэвидом Стипп (David Stipp) <dstipp@one.net>
Джефом ?МакАдамсом (Jeff ?McAdams) <jeffm@iglou.com>
- xl2tpd основан на l2tpd версии 0.60 Copyright (C)1998 Adtran, Inc.
Марк Спенсер (Mark Spencer) <markster@marko.net>
Ссылки
ru/VPN — VPN
ru/xl2tpd — xl2tpd
ru/xl2tpd/man — Руководство xl2tpd(8)
?ru/xl2tpd.conf — xl2tpd.conf, файл для настройки L2TPD