🤷🏽 🕡 🧛 ADを介したFreeradiusでのACCEL-PPP + IPsecおよび認証を使用したエンタープライズVPN 💃🏼 🙍🏽 👨‍👧

このノートでは、PPTP、L2TP（IPsecの有無にかかわらず）、アドレスプール、さまざまなユーザーグループ、LDAPおよびローカルデータベースから、グループ、およびWindows、Linux、OSX、IOS、Androidクライアント、およびこれらすべてをオープンソリューションでサポートする個々のユーザーの両方のシェーピングのオプション構成。
PSこのノートでは、ネットワークセキュリティの側面は影響を受けません。そうでなければ、実装に微妙なニュアンスのある巨大なドキュメントに成長します。次回、境界保護とネットワークセキュリティについて説明します。
誰も気にしない、猫へようこそ。

目次：
はじめに
サーバーでの準備作業
Accel-PPP（PPTP、L2TP）
ストロングスワン（IPsec）
フリー半径
サンバ4

その結果、次のようなものを取得する予定です。

ネットワークには、モバイルクライアント、オフィスクライアント、重要なサービスを備えた安全なネットワークがあり、VPNを介してのみアクセス可能である必要があります。一方、オフィスクライアントとモバイルクライアントは、VPNから異なるサブネットを受け取り、リソースにアクセスするための異なる権利を持っている必要があります。いずれにせよ、オフィスの外から働いている会社の内部インフラストラクチャへの完全なアクセス権が必要な管理者もネットワーク上にいます。このスキームは、オフィスで使用可能なサーバーを持つ内部オフィスネットワークをカバーしません。ローカル、およびVPN経由のモバイルクライアント。
サーバーのセットアップを開始します。

0）準備作業。

VPNのセットアップに直接進む前に、いくつかの準備作業を行います。
そして、最小限の構成でDebian 7をインストールしたばかりのサーバーがあります（問題ではなく、他のLinuxでも同じように動作します）。 sshまたはローカルコンソールでログインし、次の操作を行います。
正しいタイムゾーンを設定します（この例ではMSKを配置します）

mv /etc/localtime /etc/localtime_org && ln -s /usr/share/zoneinfo/"Europe/Moscow" /etc/localtime && date

このサーバーでIPv6を使用する予定がない場合は、IPv6を無効にします

 echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf

バックポートをカブに接続します（多くの問題を抱えている古代のサンバとストロングスワンを置かないように）、このために/etc/apt/sources.listに次の行を追加します。

 deb http://http.debian.net/debian wheezy-backports main contrib non-free deb http://mirror.yandex.ru/debian/ wheezy-backports main contrib non-free

この段階で最低限必要なパッケージをインストールする

 apt-get update apt-get install cmake make libssl-dev libpcre3-dev libnet-snmp-perl libtritonus-bin bzip2 checkinstall ntpdate

サーバーの時刻を同期します。ドメインクロックを使用するとすぐに改善されます。最も簡単なオプションは

 ntpdate DC.DOMAIN.COM

/etc/resolv.confでDNSドメインサーバーを指定します
ファイアウォール設定は会社固有のものであり、ここでは公開しませんが、それに基づいて、VPNクライアントの異なるサブネットを異なる禁止と許可にバインドします。

これから
..1.99は、サーバーの外部IPです。

1）Accel-PPP-L2TPおよびPPTPを操作するためのメインサービス

プロジェクトのウェブサイトからの説明

ACCEL-PPPは、Linux用の高性能VPN / IPoEサーバーです。
他のソリューションに対する利点は、一般的なさまざまなVPNテクノロジーを単一のアプリケーションに組み合わせていることです。
VPNサービスを編成するための多くのオープンソリューションがありますが、それらはすべて1種類のVPNに焦点を当てています。PPTPのみ、PPPOEのみ、L2TPのみです。
マルチサービスVPNサーバーを起動する場合は、各アプリケーションを個別に調べて構成する必要があります。
ACCEL-PPPを使用すると、単一の構成ファイル、統合された管理と監視により、すべてをサポートする1つのアプリケーションを取得できます。
...
プロジェクトの詳細については、こちらをご覧ください。

このVPNは非常に不十分であり、ハブについての言及はなく、多かれ少なかれ同じnagaブランチを中心に議論されていますが、使いやすさ、安定性、機能の点でより一般的なソリューションをバイパスしていますが、歌詞で終わり、始めましょう。

サーバーにダウンロードしてスローします。

 http://downloads.sourceforge.net/project/accel-ppp/accel-ppp-1.9.0.tar.bz2

解凍する

 tar -xjf accel-ppp-1.9.0.tar.bz2 mkdir accel-ppp-build cd accel-ppp-build

集める

 cmake -DBUILD_PPTP_DRIVER=FALSE -DLOG_PGSQL=FALSE -DNETSNMP=FALSE -DRADIUS=TRUE -DSHAPER=TRUE /root/accel-ppp-1.9.0/ make checkinstall -D

例から自動実行スクリプトを作成します。

 cd ../accel-ppp-1.9.0/contrib/debian cp accel-ppp-init /etc/init.d/accel-ppp

デーモンでディレクトリを定義する

 which accel-pppd

debの可能性が最も高いのは、 / usr / local / sbin / accel-pppdです。
開始ファイルで、パスを上記で取得したパスに変更します。

 nano /etc/init.d/accel-ppp

自動実行に追加

 insserv -v accel-ppp

ログ用のディレクトリを作成する

mkdir /var/log/accel-ppp/

接続を確認するためのアクセス権を持つファイルを作成します。将来的には、RADIUS認証に置き換えます

 touch /etc/ppp/chap-secrets

書式：
login * password ip _for発行（プールから取得する必要がある場合は、*のみ）

構成ファイル/etc/accel-ppp.confを作成します

内容

*テスト中にオプションについて可能な限りコメントしようとしました。chap-secretsのコメントを外し、 モジュールセクションの半径をコメントアウトしました。

 [modules] path=/usr/local/lib64/accel-ppp #        . log_file #     syslog. #log_syslog #  pptp l2tp #  auth_mschap_v2 auth_mschap_v1 auth_chap auth_pap #   CHAP-secrets   radius #chap-secrets #   RADIUS   chap-secrets radius # IPv4    . ippool sigchld #    ip-up/ip-down      RADIUS CoA . #pppd_compat #   . shaper #   . #connlimit [core] log-error=/var/log/accel-ppp/core.log thread-count=4 [ppp] verbose=0 min-mtu=1280 mtu=1480 mru=1480 #ccp=1 check-ip=1 #           . #    replace - accel-   ,    . #    deny accel-       #single-session=replace #   MPPE (Microsoft Point-to-Point Encryption) # prefer –        mppe=prefer ipv4=prefer #   ,   0,  PPP    LCP  -  n . lcp-echo-interval=300 #   -  ,    n   . lcp-echo-failure=6 [dns] dns1=8.8.8.8 dns2=8.8.4.4 [auth] #any-login=0 #noauth=0 [pptp] bind=..1.99 echo-interval=300 echo-failure=6 verbose=0 [l2tp] bind=..1.99 #ppp-max-mtu=1300 dictionary=/usr/local/share/accel-ppp/l2tp/dictionary hello-interval=300 #timeout=60 #rtimeout=5 retransmit=3 host-name=vpn.mydomain.ru #dir300_quirk=1 #secret= verbose=0 [radius] dictionary=/usr/local/share/accel-ppp/radius/dictionary nas-identifier=cisco nas-ip-address=127.0.0.1 gw-ip-address=..1.99 auth-server=127.0.0.1:1812,Radius-Sicret acct-server=127.0.0.1:1813,Radius-Sicret server=127.0.0.1,Radius-Sicret,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0 dae-server=127.0.0.1:3799,Radius-Sicret timeout=5 max-try=3 acct-timeout=600 acct-delay-time=1 verbose=0 [shaper] attr=Filter-Id #down-burst-factor=1.0 #up-burst-factor=1.0 #latency=50 #mpu=0 #time-range=1,7:00-00:59 #time-range=2,1:00-3:59 #time-range=3,4:00-6:59 #leaf-qdisc=sfq perturb 10 up-limiter=htb down-limiter=htb cburst=1375000 ifb=ifb0 r2q=10 quantum=1500 verbose=0 #   IP-,         : xxxx/mask (for example 10.0.0.0/8) [client-ip-range] #192.168.0.0/18 disable [log] log-file=/var/log/accel-ppp/accel-ppp.log log-emerg=/var/log/accel-ppp/emerg.log log-fail-file=/var/log/accel-ppp/auth-fail.log log-debug=/var/log/accel-ppp/debug.log #syslog=accel-pppd,daemon #log-tcp=127.0.0.1:3000 copy=1 color=1 #per-user-dir=per_user #per-session-dir=per_session #per-session=1 level=0 #    ,     #[chap-secrets] #gw-ip-address=..1.99 #chap-secrets=/etc/ppp/chap-secrets [ip-pool] attr=Framed-Pool gw-ip-address=..1.99 10.65.16.129-254,fullaccess 10.65.17.129-254,mobila 10.65.18.129-254,office [cli] telnet=127.0.0.1:2000 tcp=127.0.0.1:2001 #password=123 #[connlimit] #limit=10/min #burst=3 #timeout=60

打ち上げ

 service accel-ppp start

何か問題がある場合は、構成のログレベルを上げてログを確認します。

負荷がかかった状態で作業するには、少しのチューニングが必要です。VPN上に500未満の同時クライアントがある場合、アイテムnet.ipv4.ip_forward = 1を除き、それを行うことができます。

/etc/sysctl.confに追加します

###############################
net.ipv4.ip_forward = 1
net.ipv4.neigh.default.gc_thresh1 = 1024
net.ipv4.neigh.default.gc_thresh2 = 2048
net.ipv4.neigh.default.gc_thresh3 = 4096

net.ipv4.netfilter.ip_conntrack_max = 9548576
net.netfilter.nf_conntrack_max = 9548576

＃選択的ACKとタイムスタンプをオフにする
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0

＃メモリ割り当て最小/圧力/最大
＃読み取りバッファ、書き込みバッファ、およびバッファスペース
net.ipv4.tcp_rmem = 10,000,000 10,000,000 10,000,000
net.ipv4.tcp_wmem = 10,000,000 10,000,000 10,000,000
net.ipv4.tcp_mem = 10,000,000 10,000,000 10,000,000

net.core.rmem_max = 524287
net.core.wmem_max = 524287
net.core.rmem_default = 524287
net.core.wmem_default = 524287
net.core.optmem_max = 524287
net.core.netdev_max_backlog = 300000
net.core.netdev_tstamp_prequeue = 0
###############################

適用します：

 sysctl -p

/ etc / ppp / chap-secretsで指定されたユーザー名とパスワードを使用して、IPsecなしでPPTPおよびL2TPに接続しようとします。

サーバー自体では、接続されているクライアントのリストを次のように表示できます。

 accel-cmd show session

accel-cmdのヘルプを読むことを強くお勧めします。これには、セッションを中断することなくユーザー認証方法をその場で変更するなど、多くの機能があります。

すべて問題なければ、次の項目に進みます

2）IPsec

それが何であるか、なぜそれが必要なのかを知るために、ここに簡単に

インストールする

 apt-get -t wheezy-backports install strongswan libcharon-extra-plugins

構成可能
nano /etc/ipsec.conf

ipsec.conf

 # ipsec.conf - strongSwan IPsec configuration file config setup #           strictcrlpolicy=no include /var/lib/strongswan/ipsec.conf.inc conn %default ikelifetime=1440m keylife=60m rekeymargin=3m keyingtries=1 keyexchange=ikev1 authby=xauthpsk #   Dead Peer Detection (DPD)  ,     ,       dpdaction=clear #    DPD # dpddelay=35s #   DPD # dpdtimeout=300s #   .   IPsec  ,    IP-  fragmentation=yes #       . Windows   . rekey=no #  ciphersuites    IKE ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-aesxcbc-sha256-sha1-modp4096-modp2048-modp1024,aes256-aes128-sha256-sha1-modp4096-modp2048-modp1024! #  ciphersuites    esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp4096-modp2048-modp1024,aes128-aes256-sha1-sha256-modp4096-modp2048-modp1024,aes128-sha1-modp1024,aes128-sha1! conn L2TP_Accel-PPP authby=psk rekey=no type=transport esp=aes128-sha1,null-sha1,md5 ike=aes128-sha-modp1024,null-sha1,md5 left=194.135.1.99 leftprotoport=17/%any #  1701    iOS right=%any rightprotoport=17/%any rightsubnetwithin=0.0.0.0/0 auto=add compress=no dpddelay=30 dpdtimeout=120 dpdaction=clear forceencaps=yes conn IPsec authby=secret rekeymargin=3m keyingtries=1 keyexchange=ikev1 leftfirewall=yes rekey=no left=XX.YY.1.99 leftsubnet=0.0.0.0/0 leftauth=psk rightsourceip=%radius rightdns=8.8.8.8 right=%any rightauth=psk rightauth2=xauth-radius dpdaction=clear dpdtimeout = 5s auto=add

次に、秘密鍵を指定します
nano /etc/ipsec.secrets

: PSK "Sicret-Test-Key"

Freeradiusとのさらなる統合のために、編集も行います
nano /etc/strongswan.d/charon/eap-radius.conf

eap-radius.conf

 eap-radius { accounting = yes load = yes nas_identifier = StrongSwan #   Radius secret = Radius-Sicret server = 127.0.0.1 dae { enable = yes listen = 127.0.0.1 port = 3799 secret = Radius-Sicret } forward { } servers { } xauth { } }

打ち上げ

 service ipsec start

次のようなステータスを確認できます。

 ipsec statusall

3）FreeRadius

*それが何であるかを知らない人のために。
標準としてインストール

 apt-get install freeradius freeradius-ldap

FreeRadiusユーザーの設定を含む/etc/freeradius/clients.confファイルを修正します。ローカルAccel-PPPおよびStrongswanデーモンがあり、以下の内容は最小限です。

 client localhost { ipaddr = 127.0.0.1 secret = Radius-Sicret nastype = cisco shortname = MY_TEST_VPN }

次に、起動用のプロファイルを準備します。標準プロファイルはここにあります/ etc / freeradius /サイト対応/デフォルト
、次の形式にする必要があります。

/ etc / freeradius /サイト対応/デフォルト

* LDAPとの統合が設定されるまで、ldapおよびntlm_authに関連するすべてのオプションをコメント化してから、それらのいずれかをコメント解除する必要がありますが、一度に両方ではなく、競合します。この例では、作業設定にはすでにグループが含まれています。

 authorize { preprocess chap mschap ldap # ntlm_auth digest suffix eap { ok = return } files expiration logintime pap } authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } Auth-Type LDAP { ldap } # Auth-Type ntlm_auth { # ntlm_auth # } digest unix eap } preacct { preprocess acct_unique suffix files } accounting { detail unix radutmp exec attr_filter.accounting_response } session { radutmp } post-auth { exec Post-Auth-Type REJECT { attr_filter.access_reject } } pre-proxy { } post-proxy { eap }

次に、ローカルユーザーのファイルと、LDAPからのさまざまなグループの設定の説明を作成します。

/ etc / freeradius / users

 #      ,    , #       #perl -e 'print(crypt("testpassword","abrakadabra")."\n");' #    #testuser Crypt-Password := "abA5hjwYqm1.I" testuser Cleartext-Password := "testpassword" , MS-CHAP-Use-NTLM-Auth := 0 Service-Type = Framed-User, Framed-Protocol = PPP, #     IP,      ,   Framed-Pool Framed-IP-Address = 10.65.18.12, Framed-IP-Netmask = 255.255.255.255, #       ,    ip-pool  accel-ppp Framed-Pool = "office", #      . Filter-Id = "100000/100000", #         ,    Reply-Message = "Accepted from local file" #        #   Idle-Timeout, Acct-Interim-Interval  .. #      LDAP,     # remote-connection   office,    ip-pool  accel-ppp DEFAULT Ldap-Group == "remote-connection" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Pool = "office", Filter-Id = "100000/100000" #     DEFAULT Ldap-Group == "full-access" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Pool = "fullaccess" #       # Filter-Id = "100000/100000" DEFAULT Ldap-Group == "mobile-access" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Pool = "mobila", Filter-Id = "100000/100000"

再起動半径

 service freeradius restart

*デバッグのために、端末freeradius -Xでログ出力モードで実行できます
すべてが正常で、起動にエラーがない場合は、テストユーザーを確認します。

 radtest testuser testpassword 127.0.0.1 0 Radius-Sicret

次のような回答が得られます。

 Sending Access-Request of id 238 to 127.0.0.1 port 1812 User-Name = "testuser" User-Password = "testpassword" NAS-IP-Address = XX.YY.1.99 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=238, length=105 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 10.65.18.12 Framed-IP-Netmask = 255.255.255.255 Framed-Pool = "office" Filter-Id = "100000/100000" Reply-Message = "Accepted from local file"

回答にAccess-Acceptが含まれている場合、すべてが正常であり、FreeradiusとLDAPの統合の構成に進むことができます。事前にこのセクションに構成を配置し、修正する必要があります。
nano / etc / freeradius / modules / ntlm_auth
* KR.LOCの代わりに、ドメインを示す

 exec ntlm_auth { wait = yes program = "/usr/bin/ntlm_auth --request-nt-key --domain=KR.LOC --username=%{mschap:User-Name} --password=%{User-Password}" }

mschap、tkを介して少し調整します。 papは安全に使用できません。
nano / etc / freeradius / modules / mschap

 mschap { #  use_mppe = yes #      ,     ,    -   yes require_encryption = no require_strong = yes with_ntdomain_hack = no ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}" }

そして最も重要なのは、LDAPとの直接統合
nano / etc / freeradius / modules / ldap

に減らす

*アクセス設定を独自のldapに変更することを忘れないでください。ユーザーアカウントには、ドメイン内のプロファイルを読み取る権限が必要です。

 ldap { server = "10.13.205.7" #  identity = "sf-test@KR.LOC" #  password = "987654321" #   basedn = "dc=KR,dc=LOC" #   filter = "(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})" ldap_connections_number = 5 max_uses = 0 #port = 389 timeout = 4 timelimit = 3 net_timeout = 1 tls { start_tls = no } dictionary_mapping = ${confdir}/ldap.attrmap password_attribute = userPassword edir_account_policy_check = no groupname_attribute = cn groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{control:Ldap-UserDn})))" groupmembership_attribute = memberOf access_attr_used_for_allow = yes chase_referrals = yes rebind = yes # set_auth_type = yes keepalive { idle = 60 probes = 3 interval = 3 } }

別の重要な点は、特定のユーザーの半径属性をldapドメイン属性から直接取得するには、相互の対応を構成する必要があります。これは/etc/freeradius/ldap.attrmapファイルで行われます。独自のいくつか：

 replyItem Framed-IP-Address msRADIUSFramedIPAddress replyItem Framed-Pool msRADIUSFramedRoute

したがって、ユーザーのドメインでmsRADIUSFramedIPAddress個人属性を指定すると、半径を転送して、それをFramed-IP-Address属性であると見なし、類推によるプールについて、VPNを介してユーザーに明示的に発行します。
ドメイン側からは、次のようになります。

IPはIP計算機でHEXに変換する必要があります。もちろん、属性エディターを使用してldapの任意の属性を作成できますが、説明を加速するために標準のものを使用します。

*これらのオプションはsamba4の設定後に利用可能になります。/etc/freeradius/sites-enabled/defaultのldapセクションのコメントを忘れないでください。

4）SAMBA 4

*クイックリファレンス

開始するには、必要なものをすべてインストールします。

 apt-get install krb5-user libpam-krb5 samba winbind libnss-winbind libpam-winbind -t wheezy-backports

Sambaの設定は/etc/samba/smb.confファイルにあります

smb.conf

*ドメイン名を自分のものに変更することを忘れないでください。

 [global] obey pam restrictions = Yes log file = /var/log/samba/log.%m log level = 1 socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192 encrypt passwords = yes idmap config * : range = 10000-20000 idmap config * : backend = tdb auth methods = winbind name resolve order = hosts bcast lmhosts case sensitive = no dns proxy = no netbios name = SAMBA server string = %v samba password server = DC02.KR.LOC #        realm = KR.LOC client use spnego = yes client signing = yes local master = no domain master = no preferred master = no workgroup = KR debug level = 2 # ads        security = ads unix charset = UTF-8 dos charset = 866 max log size = 50 os level = 0 follow symlinks = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum groups = yes winbind enum users = yes

ここでwinbindを構成します（SambaがADユーザーを認識し、ローカルユーザーとして通信できるようにします）。
ファイル/etc/nsswitch.confを編集して、追加する必要があります。

 passwd: compat winbind group: compat winbind shadow: compat winbind

Kerberosを構成するために残ります（SambaをActive Directoryに統合するために使用）
ファイル/etc/krb5.confをフォームに入れます

krb5.conf

*ドメインを独自のものに変更します。

  [logging] default = FILE:/var/log/krb5.log kdc = FILE:/var/log/krb5kdc.log [libdefaults] default_realm = KR.LOC clockskew = 500 dns_lookup_realm = false dns_lookup_kdc = true ticket_lifetime = 324000 [realms] KR.LOC = { kdc = DC02.KR.LOC admin_server = DC02.KR.LOC default_domain = KR.LOC } [domain_realm] .kr.loc = KR.LOC [login] krb4_convert = true krb4_get_tickets = false

構成が修正され、サービスを再起動できます。

 service samba restart service winbind restart

ドメインユーザーを確認します。

 kinit sf-test@KR.LOC

パスワードのリクエストを受け取り、入力します。

 Password for sf-test@KR.LOC:

すべてが問題ない場合、画面に出力は表示されません。すべてが表示されている場合は、設定のエラーを注意深く読んで修正してください。
私たちはすべてがあなたとうまくいっていると信じて、ドメイン内のサーバーに入ります

 net join –U sf-test@KR.LOC

winbindの動作を確認します。

 wbinfo -u wbinfo -g

出力には、ドメインユーザーとグループのリストが表示されます。

ドメインユーザーがローカルとして認識されているかどうかを確認するには、次のコマンドを使用できます。

 id domain_user

認証モジュールの動作を確認します（ログイン/パスワード/ドメイン-当然私たちのもの）

 ntlm_auth --request-nt-key --domain=KR.LOC --username=sf-test --password=123456789

OKになったので、radius configでldapまたはntlm_authモジュールのコメントを解除し（ドメイングループが不要な場合）、freeradiusを再起動し、ドメインアカウントでVPNサーバーの作業を楽しんでください。

 radtest -t mschap sf-test 123456789 127.0.0.1 0 Radius-Sicret

これで、自宅でVPN接続を作成し、全体を確認できます。

5）ボーナス

メモをスクロールして、ネットワークダイアグラムをもう一度見て、IPsecのサイト間接続があることを思い出しました。VPNユーザーが他のネットワークにアクセスする必要がある場合にも便利です。これはすべてファイアウォールによって実装されますが、このためのストロングスワンの設定例以下に接続を示します。

ipsec.conf

/etc/ipsec.confで 、セクションを最後に追加します。

 conn juniper forceencaps=yes dpddelay=30 # Dead peer detection - 30  -   keep-alive  dpdtimeout=120 # dpd  120 ,       # IKE alg 3DES - HASH sha1 - DH group 2 (1024) ike=3des-sha1-modp1024 # IKE lifetime 86400 seconds (24 hours) ikelifetime=86400s # IKE auth method Pre-Shared Key (PSK secret) authby=secret # IPSec type tunnel type=tunnel #  -  #left side (myside) left=..1.99 # OpenSWAN side leftsubnet=10.65.0.0/16 #  ,      right=..116.5 #  rightsubnet=192.168.105.0/24 #   ,     VPN auto=start esp=3des-sha1,3des-md5 keyexchange=ikev1

おわりに

すべてが初めてうまくいき、そうでなければすぐにうまくいったことを願っています-コメントで質問してください。間違い、タイプミス、あいまいさ、またはメモの認識を妨げる他の瞬間を見つけた場合、著者は病理学的に読み書きができません。PMでお知らせください。お時間をありがとうございました。

ADを介したFreeradiusでのACCEL-PPP + IPsecおよび認証を使用したエンタープライズVPN