Differences between revisions 3 and 4
Revision 3 as of 2013-10-31 19:41:05
Size: 12505
Editor: ?jeka
Comment:
Revision 4 as of 2013-11-04 14:51:53
Size: 17092
Editor: ?jeka
Comment:
Deletions are marked like this. Additions are marked like this.
Line 54: Line 54:
              Установите это в да, чтобы журнал выхода информационной сети отладки.Установите значение в "yes" для того, чтобы включить отладочную информацию о сети в вывод через журнал syslog.               Установите значение в "yes" для того, чтобы включить отладочную информацию о сети в вывод через журнал syslog.
Line 57: Line 57:
              Set this to yes to enable printing of L2TP packet debugging information. Note: Output goes to STDOUT, so use this only in conjunction with the -D command line option.               Установите значение в "yes" для того, чтобы включить отображение различной отладочной информации об L2TP-пакете. Обратите внимание: так как вывод направляется на STDOUT, поэтому используйте этот параметр только совместно с параметром-ключём командной строки "-D"
Line 60: Line 60:
              Set this to yes to enable syslog output of FSM debugging information.               Установите значение в "yes" для того, чтобы включить вывод отладочной информации об FSM (Finite-State Machine, конечный автомат) через syslog.
Line 63: Line 63:
              Set this to yes to enable syslog output of tunnel debugging information.               Установите значение в "yes" для того, чтобы включить вывод отладочной информации о туннеле через syslog.
Line 67: Line 67:
              If set to yes, only one control tunnel will be allowed to be built between 2 peers. CHECK               Если значение установлено в "yes", то будет разрешено создание только одного управляющего туннеля между двумя пирами (Примечание: peer 1 - VPN-клиент, peer 2 - VPN-сервер). ПРОВЕРЬТЕ
Line 70: Line 70:
              Specify the range of ip addresses the LNS will assign to the connecting LAC PPP tunnels. Multiple ranges can be defined. Using the 'no' statement disallows the use of that particular range. Ranges are defined using the format IP - IP (example: 1.1.1.1 - 1.1.1.10). Note that either at least one ip range option must be given, or you must set assign ip to no.               Указывает диапазон IPv4-адресов, которые LNS (VPN-сервер) будет назначать туннелям PPP от подключающихся LAC (VPN-клиентов). Можно указать несколько диапазонов. При помощи значения "no" можно запретить использование конкретно указанного диапазона. Диапазоны указываются в формате IPv4 - IPv4 (например: 1.1.1.1 - 1.1.1.10). Обратите внимание, что в параметре "ip range" должен быть определён как минимум один диапазон, или же вы должны установить в параметре "assign ip" значение "no".
Line 73: Line 73:
              Set this to no if xl2tpd should not assign IP addresses out of the pool defined with the ip range option. This can be useful if you have some other means to assign IP addresses, e. g. a pppd that supports RADIUS AAA.               Установите значение в "no" для того, чтобы xl2tpd не назначал IP-адреса из диапазона, определенного параметром "ip range". Это необходимо только в том случае, если вы используете различные внешние средства для назначения IP-адресов, т.н. используется pppd с поддержкой RADIUS AAA.
Line 76: Line 76:
              Specify the ip addresses of LAC's which are allowed to connect to xl2tpd acting as a LNS. The format is the same as the ip range option.               Указывает IPv4-адреса LAC’ов, которым разрешено устанавливать соединения с xl2tpd, выступающим в роли LNS. Формат полностью совпадает с форматом параметра "ip range".
Line 79: Line 79:
              If set to yes, xl2tpd will use the AVP hiding feature of L2TP. To get more information about hidden AVP's and AVP in general, refer to rfc2661 (add URL?)               Если значение установлено в "yes", то xl2tpd будет использовать функционал L2TP для сокрытия полей AVP. За дополнительной информацией о возможностях сокрытия полей AVP и о полях AVP в общем представлении, обратитесь к RFC 2661.
Line 82: Line 82:
              Use the following IP as xl2tpd's own ip address.               Использовать указанный IPv4, в качестве собственного IP-адреса для xl2tpd.
Line 85: Line 85:
              If set to yes, the length bit present in the l2tp packet payload will be used.               Если значение установлено в "yes", то будет использован бит длины, указывающий полезную нагрузку (payload) l2tp-пакета.
Line 88: Line 88:
              Will require or refuse the remote peer to get authenticated via CHAP for the ppp authentication.               Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации по протоколу CHAP.
Line 91: Line 91:
              Will require or refuse the remote peer to get authenticated via PAP for the ppp authentication.               Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации по протоколу PAP.
Line 94: Line 94:
              Will require or refuse the remote peer to authenticate itself.               Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации.
Line 97: Line 97:
              If set to yes, /etc/passwd will be used for remote peer ppp authentication.               Если значение установлено в "yes", то для PPP-аутентификации удалённого peer'а (VPN-клиента) будет использоваться unix-аутентификация, то есть пара "логин:пароль" берётся из локального "/etc/passwd", используемого операционной системой, в которой запущен xl2tpd.
Line 100: Line 100:
              Will report this as the xl2tpd hostname in negociation.               Укажите имя узла, которое xl2tpd будет отправлять пиру (VPN-клиенту) в процессе согласования подключения с удалённым пиром.
Line 103: Line 103:
              This will enable the debug for pppd.               Данный параметр включает режим отладки для pppd.
Line 106: Line 106:
              Specify the path for a file which contains pppd configuration parameters to be used.               Указывает путь к файлу, содержащему параметры настройки pppd.
Line 109: Line 109:
              This option is deprecated and no longer functions. It used to be used to define the flow control window size for individual L2TP calls or sessions. The L2TP standard (RFC2661) no longer defines flow control or window sizes on calls or sessions.               Этот параметр не рекомендуется к использованию и в дальнейшем не поддерживается. Параметр использовался для указания размера окна (управления потоком передачи данных), в рамках отдельных L2TP-вызовов или L2TP-сеансов. В стандарте L2TP (RFC2661) этот параметр более не рассматривается (удалён).
Line 112: Line 112:
              This defines the window size of the control channel. The window size is defined as the number of outstanding unacknowledged packets, not as a number of bytes.               Определяет размер окна управляющего канала. Размер окна определён как число просроченных неподтверждённых пакетов, а не как число байтов.
Line 115: Line 115:
              If set to yes, sequence numbers will be included in the communication. The feature to use sequence numbers in sessions is currently broken and does not function.               Если значение установлено в "yes", то в пакеты будут добавляться порядковые номера. Использование данной функции в настоящий момент невозможно.
Line 118: Line 118:
              If set to yes, use challenge authentication to authenticate peer.               Если значение установлено в "yes", то для аутентификации peer'а (VPN-клиента) используется режим запрос-ответ.
Line 121: Line 121:
              If set, the receive bandwidth maximum will be set to this value               Если значение указано, то максимальная пропускная способность канала для операции "receive" (получать) будет установлена в это значение
Line 124: Line 124:
              If set, the transmit bandwidth maximum will be set to this value               Если значение указано, то максимальная пропускная способность канала для операции "transmit" (отдавать) будет установлена в это значение
Line 128: Line 128:
 The following are LAC specific configuration flags. Most of those described in the LNS section may be used in a LAC context, where it make common sense (essentially l2tp procotols tuning flags and authentication / ppp related ones).  Далее описываются параметры настройки xl2tpd для использования в качестве VPN-клиента (LAC). Большинство параметров, описанных в секции для настройки xl2tpd в качестве VPN-сервера (LNS), могут использоваться в контексте LAC, в котором они также полноценно функционируют (особенно при тонкой настройке параметров, относящихся к протоколу l2tp и аутентификации / ppp).
Line 131: Line 131:
              Set the dns name or ip address of the LNS to connect to.               Указать DNS-имя хоста или IPv4-адрес LNS, к которому будет произведена попытка подключения.
Line 134: Line 134:
              If set to yes, xl2tpd will attempts to redial if the call get disconected.               Если значение установлено в "yes", то xl2tpd попытается повторно установить соединение, при его потере (дисконнекте).
Line 137: Line 137:
              Wait X seconds before redial. The redial option must be set to yes to use this option.               Сколько ждать секунд перед повторной попыткой установки соединения с LNS? Для того чтобы использовать этот параметр, параметр "redial" должен быть установлен в "yes".
Line 140: Line 140:
              Will give up redial tries after X attempts.               Сколько раз пытаться повторно установить соединение с LNS?

Translation(s): Русский

(!) ?Обсуждения


VPN >> xl2tpd >> ?файл для настройки L2TPD >> Руководство xl2tpd.conf

Руководство xl2tpd.conf(5)


xl2tpd.conf(5)

xl2tpd.conf(5)

НАЗВАНИЕ

  • xl2tpd.conf — файл для настройки L2TPD

ОПИСАНИЕ

  • Файл xl2tpd.conf содержит различную информацию о настройках для xl2tpd, реализации протокола l2tp.
    • Файл с настройками состоит из различных нескольких разделов и параметров. Каждому разделу присвоено определённое имя, которое в дальнейшем будет использоваться при установке настроек FIFO (обычно /var/run/l2tp-control Подробнее на ?xl2tpd(8)).

    Значение по-умолчанию для соответствующего параметра в разделе будет использоваться во всех остальных разделах как значение по-умолчанию.

ГЛОБАЛЬНАЯ СЕКЦИЯ

  • auth file
    • Указывает путь к файлу аутентификации для использования в целях аутентификации l2tp-туннелей. Значение по-умолчанию: /etc/l2tpd/l2tp-secrets.
    ipsec saref
    • Включить отслеживание IPsec Security Association ? Когда этот параметр включен (значение "yes"), то подразумевается, что сетевые пакеты, полученные xl2tpd от VPN-клиентов, должны будут содержать в себе дополнительные поля (refme и refhim), которые позволяют отслеживать работу нескольких VPN-клиентов под одним и тем же приватным IP-адресом за NAT (на текущем сервере), а также позволяет отслеживать работу нескольких VPN-клиентов за одним и тем же маршрутизатором с функцией NAT (на стороне клиента). Обратите внимание, что необходимо, чтобы эта функция openswan поддерживалась ядром. На данный момент, возможность поддерживается только с Openswan KLIPS в режиме "mast". (подробнее на http://www.openswan.org/)

      • Установите значение данного параметра в "yes" и операционная система обеспечит установку соответствующих свойств SAref в системных вызовах recvmsg().
      Значением может быть "yes" или "no". Значение по-умолчанию - no
    saref refinfo
    • При использовании отслеживания IPsec Security Association используется вызов setsockopt() с обновлёнными параметрами. Так как это не официальный (пока ещё) вариант ядра Linux, то нам потребуется найти выход из следующей ситуации. В openswan для версий ядра Linux до 2.6.35 использовалось число Saref 22. Версия ядра Linux от 3.6.36 и выше использует число 22 для "IP_NODEFRAG" (то есть оно зарезервировано операционной системой для иных задач). Мы переместили наш флаг "IP_IPSEC_REFINFO" в значение 30. Если значение данного параметра не установлено, то по-умолчанию используется число 30. Для старых ядер Saref с накатанными патчами просто используйте привычное число 22.
    listen-addr
    • IPv4-адрес интерфейса, который будет слушать демон. По-умолчанию, демон прослушивает "INADDR_ANY" (0.0.0.0), то есть он слушает все доступные в операционной системе сетевые интерфейсы.
    port
    • Указывает порт UDP, который должен использовать xl2tpd. Значение по-умолчанию - 1701.
    access control
    • Если установлено значение "yes", то процесс xl2tpd будет принимать соединения только от пиров, адреса которых указаны в последующих разделах. Значение по-умолчанию - no
    debug avp
    • Установите значение в "yes" для того, чтобы включить поля AVP в вывод через журнал syslog среди остальной отладочной L2TP-информации.
    debug network
    • Установите значение в "yes" для того, чтобы включить отладочную информацию о сети в вывод через журнал syslog.
    debug packet
    • Установите значение в "yes" для того, чтобы включить отображение различной отладочной информации об L2TP-пакете. Обратите внимание: так как вывод направляется на STDOUT, поэтому используйте этот параметр только совместно с параметром-ключём командной строки "-D"
    debug state
    • Установите значение в "yes" для того, чтобы включить вывод отладочной информации об FSM (Finite-State Machine, конечный автомат) через syslog.
    debug tunnel
    • Установите значение в "yes" для того, чтобы включить вывод отладочной информации о туннеле через syslog.

LNS СЕКЦИЯ (СЕКЦИЯ ДЛЯ СЕРВЕРА)

  • exclusive
    • Если значение установлено в "yes", то будет разрешено создание только одного управляющего туннеля между двумя пирами (Примечание: peer 1 - VPN-клиент, peer 2 - VPN-сервер). ПРОВЕРЬТЕ
    (no) ip range
    • Указывает диапазон IPv4-адресов, которые LNS (VPN-сервер) будет назначать туннелям PPP от подключающихся LAC (VPN-клиентов). Можно указать несколько диапазонов. При помощи значения "no" можно запретить использование конкретно указанного диапазона. Диапазоны указываются в формате IPv4 - IPv4 (например: 1.1.1.1 - 1.1.1.10). Обратите внимание, что в параметре "ip range" должен быть определён как минимум один диапазон, или же вы должны установить в параметре "assign ip" значение "no".
    assign ip
    • Установите значение в "no" для того, чтобы xl2tpd не назначал IP-адреса из диапазона, определенного параметром "ip range". Это необходимо только в том случае, если вы используете различные внешние средства для назначения IP-адресов, т.н. используется pppd с поддержкой RADIUS AAA.
    (no) lac
    • Указывает IPv4-адреса LAC’ов, которым разрешено устанавливать соединения с xl2tpd, выступающим в роли LNS. Формат полностью совпадает с форматом параметра "ip range".
    hidden bit
    • Если значение установлено в "yes", то xl2tpd будет использовать функционал L2TP для сокрытия полей AVP. За дополнительной информацией о возможностях сокрытия полей AVP и о полях AVP в общем представлении, обратитесь к RFC 2661.
    local ip
    • Использовать указанный IPv4, в качестве собственного IP-адреса для xl2tpd.
    length bit
    • Если значение установлено в "yes", то будет использован бит длины, указывающий полезную нагрузку (payload) l2tp-пакета.
    (refuse | require) chap
    • Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации по протоколу CHAP.
    (refuse | require) pap
    • Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации по протоколу PAP.
    (refuse | require) authentication
    • Требовать или отказывать удалённому peer'у (VPN-клиенту) в PPP-аутентификации.
    unix authentication
    • Если значение установлено в "yes", то для PPP-аутентификации удалённого peer'а (VPN-клиента) будет использоваться unix-аутентификация, то есть пара "логин:пароль" берётся из локального "/etc/passwd", используемого операционной системой, в которой запущен xl2tpd.
    hostname
    • Укажите имя узла, которое xl2tpd будет отправлять пиру (VPN-клиенту) в процессе согласования подключения с удалённым пиром.
    ppp debug
    • Данный параметр включает режим отладки для pppd.
    pppoptfile
    • Указывает путь к файлу, содержащему параметры настройки pppd.
    call rws
    • Этот параметр не рекомендуется к использованию и в дальнейшем не поддерживается. Параметр использовался для указания размера окна (управления потоком передачи данных), в рамках отдельных L2TP-вызовов или L2TP-сеансов. В стандарте L2TP (RFC2661) этот параметр более не рассматривается (удалён).
    tunnel rws
    • Определяет размер окна управляющего канала. Размер окна определён как число просроченных неподтверждённых пакетов, а не как число байтов.
    flow bits
    • Если значение установлено в "yes", то в пакеты будут добавляться порядковые номера. Использование данной функции в настоящий момент невозможно.
    challenge
    • Если значение установлено в "yes", то для аутентификации peer'а (VPN-клиента) используется режим запрос-ответ.
    rx bps
    • Если значение указано, то максимальная пропускная способность канала для операции "receive" (получать) будет установлена в это значение
    tx bps
    • Если значение указано, то максимальная пропускная способность канала для операции "transmit" (отдавать) будет установлена в это значение

LAC СЕКЦИЯ (СЕКЦИЯ ДЛЯ КЛИЕНТА)

  • Далее описываются параметры настройки xl2tpd для использования в качестве VPN-клиента (LAC). Большинство параметров, описанных в секции для настройки xl2tpd в качестве VPN-сервера (LNS), могут использоваться в контексте LAC, в котором они также полноценно функционируют (особенно при тонкой настройке параметров, относящихся к протоколу l2tp и аутентификации / ppp).
    • lns
      • Указать DNS-имя хоста или IPv4-адрес LNS, к которому будет произведена попытка подключения.
      redial
      • Если значение установлено в "yes", то xl2tpd попытается повторно установить соединение, при его потере (дисконнекте).
      redial timeout
      • Сколько ждать секунд перед повторной попыткой установки соединения с LNS? Для того чтобы использовать этот параметр, параметр "redial" должен быть установлен в "yes".
      max redial
      • Сколько раз пытаться повторно установить соединение с LNS?

ФАЙЛЫ

/etc/xl2tpd/xl2tpd.conf

/etc/xl2tpd/l2tp-secrets

/var/run/l2tp-control

ОШИБКИ

  • Пожалуйста, отправляйте сообщения об обнаруженных ошибках и комментарии на адрес xl2tpd-dev@xelerance.com

СМОТРИТЕ ТАКЖЕ

  • xl2tpd(8)

АВТОРЫ

  • xl2tpd основан на l2tpd версии 0.60 Copyright (C)1998 Adtran, Inc.

Джеф ?МакАдамс (Jeff ?McAdams)

xl2tpd.conf(5)

Ссылки


  • ru/VPN — VPN

  • ru/xl2tpd — xl2tpd

  • ru/xl2tpd/man — Руководство xl2tpd(8)

  • ?ru/xl2tpd.conf — xl2tpd.conf, файл для настройки L2TPD