С машишы локальной сети я пингую мостовую плату,соответственно с виртуальной W732 так же пингуется своя плата убунту сервера,которая прописана шлюзом соответственно. Настроил по мануалам VPN с тоннелем l2tp и шифрованием ipsec на уровне ключа. Теперь поднимая VPN интерфейс на своей машине я по защищенному каналу подключаюсь к W732 за vpn сервером. Все работает....но вот недопонимание осталось....
1.В каком месте настроек l2tp использует ipsec? Они настраиваются отдельно и друг на друга не ссылаются.
2. Если я вручную описываю ключ в /etc/ipsec/ipsec.secrets то как работает IKE? И в каком месте это проконтролировать? Хочу включить ikev2=yes.
3. Соответственно открыты порты 500,4500,1701 по всем интерфейсам. Как я понимаю концы l2tp тоннеля на внешнем интерфейсе шлюза и у клиента,который подключился. Как забиндидь это только на внешний интерфейс?
4 Что за pluto? Это демон для IKE?
5. Насколько безопасно светить порты 500,4500,1701 во внешнюю сеть(клиенты будут динамические)?
6. И немного не в тему...нашел по iptables ,но немогу нигде найти описание доп модуля policy. Пытаюсь разобраться в следующем фильтре. (Да блин....я параноик.)
Код: Выделить всё
root # iptables -t filter -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport l2tp -j ACCEPT
root # iptables -t filter -A INPUT -p udp -m udp --dport l2tp -j REJECT --reject-with icmp-port-unreachable
root # iptables -t filter -A OUTPUT -p udp -m policy --dir out --pol ipsec -m udp --sport l2tp -j ACCEPT
root # iptables -t filter -A OUTPUT -p udp -m udp --sport l2tp -j REJECT --reject-with icmp-port-unreachable