НАСТРОЙКА DEBIAN L2TP СОЕДИНЕНИЕ, VPN ТУННЕЛЬ, RASPBERRY PI

Настройки на этой странице предназначены для подключения к сервису VPNKI, а не к любому VPN L2TP серверу в сети Интернет.

Перед началом настройки ознакомьтесь с "Общими сведениями" о работе системы. Ссылка тут - https://vpnki.ru/settings/before-you-begin/main-tech-info.

Правила и маршруты на сервере VPNKI применяются при подключении туннеля. Если вы изменили настройки в личном кабинете, то переподключите туннели.

-------

Настройка Debian Jessie

Инструкция по настройке VPN соединения с протоколом L2TP для версии пакета xl2tpd-1.3.1.

Узнать версию пакета можно при старте xl2tpd в файле /var/log/syslog.

1. Установим пакет xl2tpd для VPN подключения по протоколу L2TP.
sudo apt-get install -y xl2tpd

2. Настроим пакет xl2tpd. Для этого добавим в файл /etc/xl2tpd/xl2tpd.conf новое соединение с именем vpnki.

sudo nano /etc/xl2tpd/xl2tpd.conf

и добавим в конец файла следующий текст.

[lac vpnki]
lns = msk.vpnki.ru
require chap = yes
refuse pap = yes
require authentication = yes
name = <имя пользователя в формате userXXXX>
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes

3. Создадим новый файл.
sudo nano /etc/ppp/options.l2tpd.client

и добавим туда следующий текст.

ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-chap
noccp
noauth
crtscts # - возможно нужно закомментировать, если в /var/log/syslog есть запись об ошибке с этой строкой
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
#proxyarp
connect-delay 5000
name <имя пользователя vpnki в формате userXXXX>
password <пароль для пользователя vpnki userXXXX>
remotename vpnki
ipparam vpnki

Сохраняем Ctrl+X.

4. Создайте управляющий файл для демона xl2tpd.
sudo mkdir -p /var/run/xl2tpd
sudo touch /var/run/xl2tpd/l2tp-control

5. Перезапустите демон xl2tpd.
sudo service xl2tpd restart

6. Теперь запустите VPN соединение L2TP.
sudo echo "c vpnki" > /var/run/xl2tpd/l2tp-control

или если ошибка "Отказ в доступе", то

sudo echo "c vpnki" | sudo tee /var/run/xl2tpd/l2tp-control 

7. Проверим, что ваше соединение с L2TP сервером успешно установлено. Для этого выполните команду.
sudo ifconfig -s

в ней вы должны обнаружить работающий интерфейс ppp0.

8. Выполните команду ping для проверки доступности сервера удаленного доступа VPNKI.
ping 172.16.0.1

9. Отключите L2TP соединение командой и перезапустите xl2tpd.
sudo echo "d vpnki" > /var/run/xl2tpd/l2tp-control
На момент написания инструкции эта команда приводит к крэшу демона xl2tpd на одной из двух наших систем. Это описано в баге 838998. Ссылка здесь - https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=838998
Поэтому после разрыва соединения лучше выполнить и команду перезагрузки демона xl2tpd тоже.
sudo service xl2tpd restart

*** Автозапуск xl2tpd при старте

 10. Осталось уже немного. Добавим запуск L2TP соединения к серверу VPNKI через соединение xl2tpd при старте системы.

Для этого откроем файл.
sudo nano /etc/rc.local

и добавим в него текст:
 
#!/bin/sh -e
sudo service xl2tpd restart
sudo echo "c vpnki" > /var/run/xl2tpd/l2tp-control
exit 0

Сохраняем Ctrl+X.
Обратите внимание, что в скрипте запуска есть команда перезапуска демона xl2tpd. Она нужна по причине наличия ранее описанного бага.

11. Протестируем rc.local без перезагрузки.
sudo /etc/rc.local

12. Соединение L2TP к серверу должно установиться. Для проверки выполните команду.
sudo ifconfig -s

в ней вы должны обнаружить работающий интерфейс ppp0.
Если все ок, значит скрипт в /etc/rc.local работает корректно.

*** Прописываем маршруты

13. На этом шаге осталось прописать маршруты. Это важный шаг. Сделать это можно как вручную, так и получив данные по протоколу DHCP от сервера VPNKI.
Для автоматического получения маршрутов сети VPNKI и сетей ваших других туннелей (DHCP Option 249) необходимо скачать, разархивировать и разместить этот файл (с названием splitp) в /etc/ppp/ip-up.d

Вариант с получением маршрутов по DHCP - НЕ основной, так как не на всех инсталляциях нами был получен качественный результат. Дело в том, что используемый нами далее скрипт splitp не корректно работает с маршрутами, в которых встречаются адреса с маской /32. Из-за этого могут быть сложности с маршрутизацией.

Лучше переходите к п.15.

14. Измените права для исполнения файла при поднятии VPN интерфейса.

sudo chmod 755 /etc/ppp/ip-up.d/splitp

15. Если вы хотите все прописать руками, то сделать это можно так.
В случае обрыва связи и для ее восстановлении нам также потребуется автоматически прописать маршруты к сети VPNKI и к вашей "другой" сети. Для этого создайте файл.

sudo nano -B /etc/ppp/ip-up.d/routeadd

Добавьте в файл следующие строки:

#!/bin/sh -e
route add -net "172.16.0.0/16" dev "ppp0" #Маршрут к сети VPNKI
route add -net "192.168.100.0/24" dev "ppp0" #Например маршрут к вашей "другой" сети 192.168.100.0/24
 
Сохраните нажав Ctrl+X.

16. Измените права на исполнение файла при поднятии интерфейса ppp0.

chmod 755 /etc/ppp/ip-up.d/routeadd

Ну вот и все. Вы успешно выполнили настройку своего удаленного подключения по протоколу L2TP. Надеемся, что все заработало!

Дополнительно о протоколе L2TP

Работа соединения L2TP без шифрования осуществляется по порту UDP 1701. После установления VPN соединения вы можете увидеть это, выполнив команду netstat -tulpn .

Более подробно почитать о протоколе L2TP вы можете в нашем материале по этой ссылке.

Важно! Использование L2TP без шифрования является ненадежным средством коммуникаций. Для повышения безопасности соединения лучше использовать подключение с протоколами L2TP/IPsec. В этом случае, сначала устанавливается соединение IPsec. После этого, внутри туннеля IPsec происходит аутентификация по протоколу L2TP. Туннель IPsec устанавливатеся с использованием общего ключа. Аутентификация в протоколе L2TP выполнятеся по имени и паролю.

Как настроить соединение с протоколами L2TP/IPsec читайте в материале по ссылке. Это более сложная конфигурация. В ней сложнее искать и устранять ошибки. Поэтому вам потребуется более детально погрузиться в работу протокола IPsec.

Важные советы после настройки удаленного подключения

После успешной настройки VPN подключения мы рекомедуем вам выполнить несколько важных шагов. Они дадут вам уверенность в том, что VPN соединение работоспособно в полном объеме.

• Проверьте статус подключения вашего туннеля на странице "Мои настройки" - "Состояние туннеля". Попробуйте отключить туннель со стороны сервера. Посмотрите как ваш клиент попытается переустановить VPN соединение.

• Посмотрите как отображается подключение в различных журналах сервера. "Статистика" - "Статистика подключений". Еще в "События безопасности". А еще в "События авторизации". Важно видеть как отображается успешное VPN соединение.

• Попробуйте выполнить пинг сервера VPNKI 172.16.0.1 с вашего устройства.

• Попробуйте выполнить пинг вашего устройства со страницы "Инструменты" нашего сервера. Выполните пинг устройства по адресу туннеля сети VPNKI - 172.16.x.x. Это важный шаг и не стоит им пренебрегать. Но стоит знать, что пинг может быть неуспешен. Это не причина для беспокойства если вы будете только обращаться с этого устройства к другим туннелям. Однако, если вы будете обращаться к этому устройству удаленно, то стоит знать, что отсутствие ответа на пинг это результат работы межсетевого экрана вашего устройства.

• Если вы имеете второй подключенный туннель в своем аккаунте, то проверьте пинг и до устройства в другом туннеле. Сначала по его адресу сети VPNKI - 172.16.x.x. Затем можно выполнить пинг устройства в другом туннеле по адресу внутренней сети (192.168.x.x). Если такая маршрутизация настроена.

• Посмотрите как отображается количество переданного трафика туннеля. Это в "Мои настройки" - "Статистика" - "Графики использования". За текущий день статистика показывается с разбивкой по туннелям. За предыдущие дни - суммарно.
  По особенности подсчета трафика туннелей читайте в FAQ. Ссылка здесь.

Надеемся, что вы успешно прошли все пункты советов! Теперь ваше VPN соединение работает успешно. А вы познакомились с основными инструментами нашего сервера удаленного доступа.

Если в дальнейшем возникнут сложности с уже настроенным подключением, то эти советы помогут вам в поиске неисправностей.

*** Если у вас вдруг что-то не получилось, обращайтесь на Форум поддержки нашей системы. Ссылка здесь.

Рекомендации по выбору тарифа

Если вы не планируете передачу видео трафика через VPN, то мы рекомендуем вам начинать с выбора тарифа PLAN-MYDEV. Если передача видео будет осуществляться, то стоит сразу начинать с PLAN-VIDEO. Если скорости хватать не будет, то в любое время вы можете изменить тариф на более скоростной.

Если вы используете нашу систему для решения бизнес задач, то можно начать с аналогичных тарифов с приставкой BUSINESS-.

Контролировать объем переданного трафика вы можете на странице с графиками использования.

Узнать реальную скорость своего VPN соединения вы можете утилитой iperf3 на странице "Инструменты". Стоит отметить, что скорость передачи полезных данных будет зависеть от трех факторов:

• от типа используемого протокола VPN;

• типа используемого транспортного протокола - TCP или UDP;

• физической удаленности вашего устройства от нашего сервера.

Худшим вариантом по скорости окажется вариант, когда в качестве транспортного протокола для VPN соединения используется протокол TCP. При этом ваше устройство размещено далеко от сервера VPNKI. В этом случае, реальная скорость передачи данных будет определяться необходимостью подтверждения получения каждого пакета в протоколе TCP.

ДОПОЛНИТЕЛЬНО ПО ТЕМЕ КОНФИГУРАЦИИ УДАЛЕННОГО ДОСТУПА

• Рабочий стол Windows через RDP и OpenVPN. Ссылка здесь.

• Выставить FTP сервер в сеть Интернет через проброс TCP порта. Ссылка здесь.

ОБЩАЯ ИНФОРМАЦИЯ ОБ УДАЛЕННОМ ДОСТУПЕ

• Немного более подробно про IP адреса. Можно прочитать на нашем сайте.

• Про удалённый доступ к компьютеру можно. Можно почитать на нашем сайте.

• Про VPN и протоколы можно почитать здесь.

• Про выход в Интернет через VPN и центральный офис. Можно почитать здесь.