xl2tpd.conf − файл конфигурации L2TPD
Файл xl2tpd.conf содержит конфигурационную информацию для xl2tpd(8) − реализации протокола l2tp.
Файл конфигурации состоит из разделов и параметров. Каждый раздел имеет имя, которое используется при применении конфигурации через FIFO (обычно /var/run/l2tp−control). За более подробной информацией обратитесь к xl2tpd(8).
Специально заданное имя default будет указывать параметры, применяемые ко всем следующим разделам.
auth file
Указывает путь к файлу аутентификации, используемому для аутентификации туннелей l2tp. По умолчанию − /etc/l2tpd/l2tp−secrets.
ipsec saref
Использовать мониторинг ipsec Security Association. Когда она включена, полученные xl2tpd(8) пакеты должны содержать дополнительные поля (refme и refhim), что позволяет отслеживать несколько клиентов с одинаковыми IP−адресами, находящимися за одним и тем же маршрутизатором с функцией трансляции внутренних IP адресов. Необходимо, чтобы эта функция поддерживалась ядром. На данный момент, это возможно только с Openswan KLIPS в режиме "mast". (Смотри http://www.openswan.org/)
Установите в "yes", чтобы система предоставляла соответствующие значения SAref в вызовах recvmsg().
Значениями могут быть yes или no. По умолчанию − no.
saref refinfo
При использовании отслеживания IPsec Security Association используется новый системный вызов setsockopt. Поскольку это (ещё?) не официальная возможность ядра Linux, мы столкнулись с такой ситуацией. Openswan до 2.6.35 для ядер Linux до 2.6.35 использовал для saref значение 22. Linux 3.6.36+ использует 22 для IP_NODEFRAG. Мы изменили наш IP_IPSEC_REFINFO на 30. Если не указано, по умолчанию используется 30. При использовании устаревших заплат ядра для поддержки SAref используйте значение 22.
listen−addr
IP адрес интерфейса, который прослушивает демон. По умолчанию, он прослушивает INADDR_ANY (0.0.0.0), то есть все интерфейсы.
|
port |
Указывает порт UDP, который должен использовать xl2tpd. По умолчанию − 1701. |
access control
Если установлено "yes", процесс xl2tpd будет принимать соединения только от партнеров, адреса которых указаны в следующих разделах. По умолчанию "no".
debug avp
Установите в "yes", чтобы включить вывод отладочной информации L2TP AVP через syslog.
debug network
Установите в "yes", чтобы включить вывод отладочной информации о сети через syslog.
debug packet
Установите в "yes", чтобы включить отображение отладочной информации пакета L2TP. Замечание: вывод направляется на STDOUT, так что используйте эту опцию только совместно с опцией командной строки −D.
debug state
Установите в "yes", чтобы включить вывод отладочной информации о FSM (конечном автомате) через syslog.
debug tunnel
Установите в "yes", чтобы включить вывод отладочной информации о туннеле через syslog.
exclusive
Если установлено в "yes", будет разрешён только один туннель между двумя партнерами. ПРОВЕРИТЬ
(no) ip range
Указывает диапазон IP адресов, которые LNS назначает туннелям PPP от LAC. Может быть определено несколько диапазонов. С помощью выражения "no" можно запретить использовние данного диапазона. Диапазоны определяются в виде IP − IP (например: 1.1.1.1 − 1.1.1.10). Отметим, что в опции ip range должен быть определен по крайней мере один диапазон, или нужно установить в опции assign ip значение "no".
assign ip
Установите здесь "no", если xl2tpd не должен назначать IP адреса из диапазона, определенного опцией ip range. Это может быть полезно, если используются иные средства для назначения IP адресов, например в случае pppd с поддержкой RADIUS AAA.
(no) lac
Указывает IP адреса LAC’ов, которым разрешено устанавливать соединения с xl2tpd, выступающим в роли LNS. Формат аналогичен используемому опцией ip range.
hidden bit
Если установлено в "yes", то xl2tpd будет использовать возможность L2TP для сокрытия AVP. За дополнительной информацией о возможностях сокрытия AVP и об AVP вообще, обратитесь к RFC 2661.
local ip
Использовать данный IP, в качестве собственного адреса xl2tpd.
local ip range
Указывает диапазаон адресов LNS, которые будут использоваться в качестве локального адреса при установлении туннелей LAC PPP. Эта опция взаимно исключает опцию local ip и полезна в случаях, когда желательно иметь уникальный IP−адрес для каждого туннеля. Указание диапазона аналогично опции ip range. Отметим, что опция assign ip не влияет на эту опцию.
length bit
Если установлено в "yes", будет использован бит длины, указывающий полезную нагрузку пакета l2tp.
(refuse | require) chap
Отказывать или требовать от удаленного партнёра производить аутентификацию PPP по протоколу CHAP.
(refuse | require) pap
Отказывать или требовать от удалённого партнера производить аутентификацию PPP по протоколу PAP.
(refuse | require) authentication
Отказывать или требовать от удалённого партнёра производить аутентификацию.
unix authentication
Если установлено в "yes", то для аутентификации PPP удалённого партнера будет использоваться /etc/passwd.
hostname
Сообщает, какое имя узла xl2tpd использует в процессе согласования.
ppp debug
Включает режим отладки для pppd.
pass peer
Передать IP−адрес партёра в pppd через ipparam. Включено по умолчанию.
pppoptfile
Определяет путь к файлу, содержащему параметры конфигурации pppd.
call rws
Эта опция не рекомендуется к использованию и более не поддерживается. Она использовалась для определения размера окна (управления потоком передачи данных), в рамках отдельных вызовов L2TP или сеансов. В стандарте L2TP (RFC2661) указанные параметры более не определены.
tunnel rws
Определяет размер окна управляемого канала. Размер окна определен как число просроченных неподтвержденных пакетов, а не как число байтов.
flow bits
Если установлено в "yes", в пакеты будут добавляться порядковые номера. Использование данной функции в настоящий момент невозможно.
challenge
Если установлено в "yes", для аутентификации партнера используется механизм вызов−ответ.
|
rx bps |
Если задано, ширина входящего канала будет ограничена этим значением. |
||
|
tx bps |
Если задано, ширина исходящего канала будет ограничена этим значением. |
Далее описываются флаги, относящиеся к настройке LAC. Большинство опций, описанных в секции LNS, могут использоваться в контексте LAC, в котором они тоже действуют (особенно в тонкой настройке флагов, относящихся к протоколу l2tp и аутентификации/ppp).
|
lns |
Установить имя узла DNS или IP адрес LNS, к которому подключаемся. |
||
|
redial |
Если установлено в "yes", xl2tpd попытается переустановить отключившееся соединение. Отметим, что при включении этой опции xl2tpd будет хранить пароли в памяти, что является потенциальной угрозой безопасности. |
redial timeout
Ждать X секунд перед повторной попыткой установки соединения. Для использования этой опции опция redial должна быть установлена в "yes". По умолчанию 30 секунд.
max redial
Количество попыток повторной установки соединения.
/etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/l2tp−secrets /var/run/xl2tpd/l2tp−control
Пожалуйста, отправляйте сообщения об обнаруженных ошибках и комментарии на адрес xl2tpd@lists.xelerance.com
xl2tpd(8)
Разработка основана на xl2tpd фирмы Xelerance (http://www.xelerance.com/software/xl2tpd/)
Майкл Ричардсон (Michael Richardson) <mcr@xelerance.com>, Пол Уотерс (Paul Wouters) <paul@xelerance.com>
Особая благодарность Жако де Лию (Jacco de Leeuw) <jacco2@dds.nl> за поддержку l2tpd.
Прежняя разработка велась на sourceforge (http://www.sourceforge.net/projects/l2tpd):
Скотом Балмосом (Scott Balmos) <sbalmos@iglou.com>
Дэвидом Стиппом (David Stipp) <dstipp@one.net>
Джефом МакАдамсом (Jeff McAdams) <jeffm@iglou.com>
Основано на l2tpd версии 0.60
Copyright (C)1998 Adtran, Inc.
Марк Спенсер (Mark Spencer) <markster@marko.net>
Перевод выполнен на сайте коллективных переводов http://translated.by. Авторы перевода Олег Безначев aka saturn721, Владимир Ступин <vladimir@stupin.su>, ghostonthewire <ghostonthewire@gmail.com>.