artem
21.11.2016
19812

Настройка L2TP-сервера на CentOS с подключением клиента на примере роутера Mikrotik

В рамках статьи рассматривается объединение двух удаленных точек с помощью L2TP-туннеля. Такая схема полезна когда клиенты, подключающиеся к серверу Астериск находятся за динамическим IP адресом, чтобы ослаблять безопасность SIP, открыванием со всех подсетей.

Исходные данные:
Головной офис:
XXX.XXX.XXX.XXX — внешний статический ip-адрес
192.168.15.0/24 — локальная сеть
192.168.15.254 — ip-адрес сервера Asterisk
172.10.20.0/24 — подсеть адресов, выдаваемая клиентам l2tp
172.10.20.1 — ip сервера в l2tp
Филиал:
192.168.30.0/24 — локальная сеть филиала
Оптимальный вариант со стороны филиала поставить роутер микротик в базовой настройке (о ней рассказано в статье: /kb/voip-devices-configuration/mikrotik-config/).
Сервер L2TP можно настроить на сервере с Asterisk’ом.
Сначала необходимо установить на сервере все требуемые пакеты и зависимости.
Если не подключен репозиторий EPEL, то желательно его подключить.
В CentOS 6 это делается командой:

yum install epel-release

В качетве l2tp используется утилита xl2tpd, также потребуется установка ppp, так как l2tp будет устанавливать соединение протоколом ppp, и и пакета утилит bind. Все это можно установить в одну команду:

yum install -y ppp xl2tpd bind-utils

Далее настраивается l2tp.
Необходимо править файл /etc/xl2tpd/xl2tpd.conf — предварительно можно сделать бэкап оригинального файла: mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak

vim /etc/xl2tpd/xl2tpd.conf

Необходимо привести файл к виду указанному ниже (в комментариях указано за что отвечает тот или иной параметр)

[global]
port = 1701 #порт на котором работает туннель
[lns l2tpd] #l2tpd — имя можно указать любое
ip range = 172.10.20.10-172.10.20.250 #диапазон ip-алресов, выдаваемых сервером клиентам
local ip = 172.10.20.1 #адрес сервера в туннеле биндится на интерфейс ppp
require chap = yes #требование аутентификации ppp по протоколу chap
refuse pap = yes #отказ в аутентификации ppp по протоколу pap
require authentication = yes #требование к клиентам проходить обязательную аутентификацию
name = l2tpd #имя
pppoptfile = /etc/ppp/options.xl2tpd #файл содержащий описание опций ppp
length bit = yes #использование бита длины, указывающего полезную нагрузку пакета
Прописать необходимые опции ppp
vim /etc/ppp/options.xl2tpd
ms-dns 8.8.8.8 #указывает DNS-серверы, выдаваемые клиентам
ms-dns 8.8.4.4
noccp
auth #запрос клиенту на аутентификацию до установления обмена сетевыми пакетами
crtscts
idle 1800
mtu 1280
mru 1280
lock #создание lock файла для сохранения эксклюзивного доступа к устройству
lcp-echo-failure 10 # количество неудачных echo запросов до того как провести отключение клиента
lcp-echo-interval 60 #интервал echo запросов
connect-delay 5000
logfile /var/log/ppp/ppp.log #логировние

Далее прописать пользователей в файле:

vim /etc/ppp/chap-secrets
# client server secret IP addresses
«peer_name» «name» «peerpasswd» «*»
client — имя пользователя
server — имя сервера указанное в файле xl2tpd.conf или options.xl2tpd
secret — пароль пользователя используемый при подключении — также можно хранить в закрытом виде: результат функции crypt
IP addresses — указываются адреса с которых возможно подключение (* — означает подключение отовсюду)

После произведения настроек необходимо перезапустить службы:

service xl2tpd restart

Следует учитывать что интерфейс ppp не поднимется и его не будет видно в системе пока не пройдет аутентификация клиента.

 При настройке порта l2tp, а также при пробросе портов на роутере следует учитывать, что l2tp-client на стороне микротика работает с параметрами по умолчанию — не поддерживает смену портов и использует протокол UDP.

Настройка клиента на микротике настройка указана через командную строку:

/interface l2tp-client add name=l2tp-out1 connect-to=xxx.xxx.xxx.xxx user=peer_name password=peerpasswd allow=chap,mschap1 use-ipsec=no add-default-route=no max-mtu=1280 max-mru=1280

здесь connect-to= указывается внешний ip сервера l2tp
user/password — логин/пароль пользователя указанные в файле /etc/ppp/chap-secrets
проверить полученный адрес l2tp можно командой:

/ip address print
@MikroTik] /ip address> /ip address print
Flags: X — disabled, I — invalid, D — dynamic
# ADDRESS NETWORK INTERFACE
2 D 172.10.20.10/32 172.10.20.1 l2tp-out1

По выводу видно, что созданый на предыдущем шаге интерфейс получил адрес 172.10.20.10, т. е. Первый из объявленного на сервере диапазона.
После этих манипуляций на сервере должен подняться интерфейс ppp, проверить можно командой ifconfig

ppp0 Link encap:Point-to-Point Protocol
inet addr:172.10.20.1 P-t-P:172.10.42.10 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1
RX packets:294 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:173792 (169.7 KiB) TX bytes:46 (46.0 b)

Чтобы хостам локальной сети сервер был доступен по его локальному адресу, а равно и хосты локальной сети филиала были доступны с сервера необходимо настроить маршрутизацию.

На сервере: в файл /etc/sysconfig/network-scripts/route-pppX, где X — номер ppp интерфейса, добавить маршрут в локальную сеть филиала:

192.168.30.0/24 via 172.10.20.10 dev ppp0

Чтобы настройки применились надо или рестартовать интерфейс или вручную добавить маршрут в таблицу маршрутизации вручную:

ip route add 192.168.30.0/24 via 172.10.20.10

На Микротике:

/ip route add dst-address=192.168.15.0/24 gateway=l2tp-out1

После данных настроек получается ненатированный прозрачный ВПН, но следует учитывать что данные в нем будут без шифрования.

Подписаться
Уведомить о
guest
2 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Alex Sh
Alex Sh
01.12.2020 11:00

Спасибо за информацию. А если на VPS сервере размещены сайты, vpn сервер не будет мешать? Или надо арендовать VPS отдельно?

Eduard I. Titkov
Eduard I. Titkov
04.12.2020 14:51
Ответить на  Alex Sh

Добрый день, нет, мешать не будет.
Сетевого канала, полагаю, вам должно хватать. По ресурсам тоже.
В зависимости от нагрузки, конечно всё.

Остались вопросы?

Я - Компаниец Никита, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование


ближайшие курсы

ближайшие Вебинары

ONLINE

10 доводов в пользу Asterisk

Распространяется бесплатно.

Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.

Безопасен в использовании.

Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.

Надежен в эксплуатации.

Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.

Гибкий в настройке.

Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.

Имеет огромный функционал.

Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.

Интегрируется с любыми системами.

То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.

Позволяет телефонизировать офис за считанные часы.

В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.

Отличная масштабируемость.

Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.

Повышает управляемость бизнеса.

Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.

Снижает расходы на связь.

Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.