Установка l2tp + radius авторизация

Итак, необходима реализация l2tp + авторизация через radius сервер. В качестве ОС установленa Ubuntu 14.10.

  1. Используем стандартный xl2tpd из репозиториев в качестве l2tp сервера:
  2. apt-get install ppp openswan radiusclient1 xl2tpd
  3. В конфиг nano /etc/ppp/options.xl2tpd вносим:
  4. name l2tp
    auth
    require-mschap-v2
    ms-dns 8.8.4.4
    ms-dns 8.8.8.8
    idle 1800
    nodefaultroute
    lock
    nobsdcomp
    novj
    novjccomp
    nologfd
    lcp-echo-interval 5
    lcp-echo-failure 5
    plugin radius.so
    plugin radattr.so
  5. В файле nano /etc/xl2tpd/xl2tpd.conf прописываем:
  6. [global]
    [lns default]
    local ip = 10.8.2.1
    refuse chap = yes
    refuse pap = yes
    require authentication = yes
    name = l2tp
    ppp debug = yes
    pppoptfile = /etc/ppp/options.xl2tpd
    length bit = yes
    ip range =10.8.2.1-10.8.2.225
  7. В файле nano /etc/ipsec.conf прописываем:
  8. config setup
       plutodebug=control
       nat_traversal=yes
    
    conn %default
       ikelifetime=60m
       keylife=20m
       rekeymargin=3m
       keyingtries=1
       authby=secret
    
    conn l2tp
       pfs=no
       rekey=no
       left=YOURSERVERIP
       leftprotoport=17/1701
       rightsubnetwithin=0.0.0.0/0
       right=%any
       rightprotoport=17/%any
       dpdaction=clear
       auto=add
    
  9. В файле nano /etc/ipsec.secrets прописываем:
  10. YOURSERVERIP %any : PSK "YOURSECRET"
  11. В файле nano /etc/radiusclient/servers нужно ввести secret phrase от радиус сервера и IP радиус сервера:
  12. 123.123.123.123 yoursecrethere
  13. В файл nano /etc/radiusclient/radiusclient.conf вносим следующее содержимое:
  14. auth_order radius,local
    login_tries 4
    login_timeout 60
    nologin /etc/nologin
    issue /etc/radiusclient/issue
    authserver RADIUS_SERVER_IP_OR_HOSTNAME:1812
    acctserver RADIUS_SERVER_IP_OR_HOSTNAME:1813
    servers /etc/radiusclient/servers
    dictionary /etc/radiusclient/dictionary
    login_radius /usr/sbin/login.radius
    seqfile /var/run/radius.seq
    mapfile /etc/radiusclient/port-id-map
    default_realm
    radius_timeout 10
    radius_retries 3
    login_local /bin/login
  15. В конец файла nano /etc/radiusclient/dictionary добавляем:
  16. INCLUDE /etc/radiusclient/dictionary.microsoft

    Скачиваем отсюда и распаковываем в ту же папку.

  17. Настраиваем на брандмауэре подмену IP (маскируем IP):
  18. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  19. Перезапускаем серверы
  20. service ipsec restart
    service xl2tpd restart

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *