Добрый день, коллеги!
Имеется l2tp-сервер c mpd под топиком. Настраивался согласно
http://wiki.stocksy.co.uk/wiki/L2TP_VPN_in_FreeBSD и
http://forums.freebsd.org/showthread.php?t=26755
Из отличий - выставил net.inet.udp.checksum=0 иначе клиент за натом не
подымает l2tp поверх ipsec в транспортном режиме. Так вот при включенном
ipsec через тунель бегает только udp и icmp, tcp ни в какую. Как только
на обоих концах убираю ipsec - tcp начинает ходить.
flush;
spdflush;
spdadd 0.0.0.0/0[any] x.x.x.x[1701] udp -P in ipsec esp/transport//require;
spdadd x.x.x.x[1701] 0.0.0.0/0[any] udp -P out ipsec esp/transport//require;
default:
load l2tp_server
l2tp_server:
set ippool add pool1 10.10.10.2 10.10.10.254
create bundle template B
set iface enable tcpmssfix
set iface enable proxy-arp
set iface up-script /usr/local/etc/mpd5/l2tp-linkup.sh
set iface down-script /usr/local/etc/mpd5/l2tp-linkdown.sh
set ipcp yes vjcomp
set ipcp ranges 10.10.10.1/32 ippool pool1
set ipcp dns x.x.x.x
create link template L l2tp
set link action bundle B
set link yes acfcomp protocomp
set link yes pap chap
set link enable chap
set link enable incoming
set link mtu 1280
set l2tp self x.x.x.x
set l2tp enable lengthpath pre_shared_key "/usr/local/etc/racoon/psk.txt";
listen
{
isakmp x.x.x.x [500];
isakmp_natt x.x.x.x [4500];
strict_address;
}
remote anonymous
{
exchange_mode main,aggressive;
passive on;
proposal_check obey;
support_proxy on;
nat_traversal on;
ike_frag on;
dpd_delay 20;
proposal
{
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo anonymous
{
encryption_algorithm aes,3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
pfs_group modp1024;
}
