OpenWrt에 UEC L2 TP/IPSecVPN 메모 부착

컨디션

OpenWrt 21.02.0-rc4 r16256-2d5ee43dc6

Core i7 3930K

RAM 64GB

필수 패키지

strongswan-full(full이 필요하지 않을 수도 있음)

xl2tpd

opkg install strongswan-full
opkg install xl2tpd

strongswan의 IPSec 설정

/etc/ipsec.conf를 통한 연결 설정

conn 부분은 좋아하는 이름(예를 들어 uec-vpn)
나중에 연결할 때 사용
/etc/ipsec.conf

conn uec-vpn
        type=transport
        authby=secret
        rekey=yes
        keyingtries=1
        keyexchange=ikev1
        ike=aes128-sha1-modp1024
        esp=aes128-sha1
        left=%any
        leftprotoport=udp/l2tp
        right=VPNサーバのIP
        rightprotoport=udp/%any
        auto=start
        dpdaction=restart

/etc/ipsec.시크릿에서 키를 미리 공유하는 설정

반각 공백을 사용하지 않으면 읽을 수 없습니다
열쇠를 찾지 못하는 오류는 기본적으로 이것 때문이다
/etc/ipsec.secrets

VPNサーバのIP : PSK "事前共有鍵"

잇닿다

연결하기 전에 IPsec를 다시 불러오십시오

/etc/init.d/ipsec reload

IPsec up을 통한 연결

ipsec up uec-vpn

두드린 상태에서 up하면 성공

ipsec status uec-vpn

아래의 일지가 있어야 한다

Security Associations (1 up, 0 connecting):
(略)

xl2tpd에서 L2 TP 설정

/etc/xl2tpd/xl2tpd.conf 설정

글로벌존은 안 하셔도 될 것 같아요.
/etc/xl2tpd/xl2tpd.conf

[lac uec-vpn]
lns = VPNサーバのアドレス
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

/etc/ppp/options.xl2tpd 설정

/etc/xl2tpd/xl2tpd.conf의 pppoptfile 부분에서 지정한 파일

name "UECアカウント名"
password "パスワード"
noauth
debug
dump
usepeerdns
logfd 2
logfile /var/log/xl2tpd.log #好きな場所に
noccp
novj
novjccomp
nopcomp
noaccomp
mtu 1200 #小さめにしとくと安定するらしい
mru 1200

잇닿다

연결 전reload xl2tpd

/etc/init.d/xl2tpd reload

xl2tpd-control connect-lac로 연결

xl2tpd-control connect-lac uec-vpn

로그 파일을 확인합니다(예:/var/log/xl2tpd.log).
잘 되면 다음 일지가 나올 거예요.
/var/log/xl2tpd.log

(略)
local  IP address xx.xx.xx.xx
remote IP address x.x.x.x
primary   DNS address UECのプライマリDNSサーバIP
secondary DNS address UECのセカンダリDNSサーバIP

ppp0 만들면 성공.
제가 먼저 루트 설정을 해서 푹 빠졌기 때문에 연결하기 전에 루트 설정을 끊는 게 좋을 것 같아요.
!
OpenWrt의 Logging을 유효하게 사용하지 않으면 xl2tpd를 시작할 때 오류가 발생하여 사망하지 않습니다
xl2tpd 로그 파일이 없을 때 OpenWrt 측의 로그를 확인하십시오

라우팅 또는 설정

인터페이스 설정

완성된 ppp0 등 인터페이스는 OpenWrt 측에서 마운트 해제로 설정합니다
이름은 UEC입니다.VPN 같은 걸로 바꿀 수 있어요.
새 방화벽 영역

방화벽 구성

방금 만든 영역(예: UEC VPN)에 대해 다음과 같이 설정합니다.

lan → UEC_VPN

input:accept

output:accept

forward:accept

Masquerading:No

UEC_VPN → lan

input:reject

output:accept

forward:reject

Masquerading:Yes

라우팅 설정

UEC를 위한 그룹은 모두 VPN으로 이동하려고 하지만 VPN 서버만 wan을 통과합니다
정적 라우팅 설정

interface:wan

대상: UEC VPN 서버의 IP

IPv4-넷마스크: 255.255

양도: 0

interface:UEC_VPN

목표: 130.153.00

IPv4-넷마스크: 255.25.0

IPv4- 게이트웨이: 없음

양도: 0보다 크다

!
방화벽의 설정을 바꾸면 경로의 설정이 날아갈 수 있습니다
IP route 등을 통해 루트 설정이 적절하게 반영되었는지 확인

확인

학습 정보 시스템 방문 등을 통해 두 가지 요소 인증을 받지 않으면 성공할 수 있다
연결할 수 없으면 방화벽의 설정과 루트 설정을 수정하십시오
교내를 방문하려면 프록시 서버를 통해 쉽게 접근할 수 있습니다
dl.acm.프록시 서버 접근 org 등을 통해 논문 감소
크롬의 확장ProxySwitchyOmega이면 사이트마다 에이전트 설정을 바꿀 수 있기 때문에 순조롭게 진행되고 있습니다.
정보기초센터는 ITC 사용자 가이드의 linux에 대한 설정 기사를 작성하거나 SSSLVPN을 복원하십시오

2022-04-07 추기

라우팅 설정으로 UEC를 향한 통신이 모두 VPN으로 흐르기 때문에 교내에서 프록시 서버를 통해 집에 VPN을 붙이면 패킷은 허공으로 사라진다
http 프록시나 socks 프록시로 가는 통신 루트는wan입니다