classic.ISPforum.cz

Fórum československých telekomunikací
https://classic.ispforum.cz/

l2tp server via ipsec i bez něj na jednom MK

https://classic.ispforum.cz/viewtopic.php?f=5&t=19961

Stránka 1 z 1

l2tp server via ipsec i bez něj na jednom MK

Napsal: 31 Mar 2016 11:59
od okoun
Zdravím, měl bych dotaz zda je možné rozject na ROS mikrotik VPN server kde budou l2tp ipsec tunely a samotné l2tp tunely bez ipsecu. Ty bez ipsecu by měly jako klienta pouze mikrotiky a ty s ipsecem by měly klienta jen windows stanice. Vše by bylo bez certifikátů pouze s PSKčkem.
Prosím o radu jak na to.

Díky

Re: l2tp server via ipsec i bez něj na jednom MK

Napsal: 31 Mar 2016 15:32
od Majklik
Ano, jde to. V podstatě, pokud si sám ručně nevynutíš pomocí firewallu nebo ipsec policy nutnost IPsec vrstvy, tak to L2TP server neřeší a přijme holé L2TP spojneí a i obalené pomocí IPsec transportu.
Asi jediná zrada může být u novějších ROSů, kde když L2TP server si všimne, že je nastaven nějak i IPsec a dáš do PPP profilu nutnost použití šifrování, tak bude chtít, aby to mělo IPsec obálku a nevezme nativní L2TP šifrování pomocí MPPE. Takže v takovéto sestavě by ty holé L2TP tunely musely být úplně bez šifrování. Takže pokud nechceš takovou šaškárnu, tak asi můžeš použít i L2TP/IPSec mezi těmi RBčky. Nastavení v novějších ROSech je snad na 2 kliknutí.

Re: l2tp server via ipsec i bez něj na jednom MK

Napsal: 01 Apr 2016 22:06
od Majklik
Pokud to chceš i s konfigurací, tak třeba takto pro L2TP část na serveru:

Kód: Vybrat vše

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 incoming-filter=rw-in local-address=10.255.0.1 name=l2tp/ipsec use-encryption=yes use-upnp=no
/ppp secret
add name=test password=TEST profile=l2tp/ipsec remote-address=10.255.0.2 service=l2tp
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp/ipsec enabled=yes max-mru=1400 max-mtu=1400

IPsec vrstva nastavená ručně:

Kód: Vybrat vše

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,sha256,sha512 enc-algorithms=3des,aes-128-cbc,aes-192-cbc,aes-256-cbc lifetime=1h pfs-group=modp2048
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=port-override lifetime=8h local-address=0.0.0.0 passive=yes secret=TajneHeslo send-initial-contact=no
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0

Fakticky u novějších ROSů nemusí tu IPsec vrstvu ani sám nastavovat, stačí k L2TP serveru přilepit parametry "use-ipsec=yes ipsec-secret=TajneHeslo" a IPsec si to nastaví samo tak, aby se Windowsy a podobné dokázaly připojit. Toto nevynurí nutnost IPsec obálky pro L2TP, tu vynutí až pokud by v tom PPP profilu bylo použito use-encryption=required, takže s use-encryption=yes to dovolí připojit L2TP klienta s IPsec obálkou i bez ní. Jiný způsob vynucení IPsecu (a trochu bezpečnější) je ve firewallu něco jako:

Kód: Vybrat vše

/ip firewall filter
add chain=input comment="Nepust dovnitr L2TP  bez IPsec obalky" dst-port=1701ipsec-policy=in,ipsec protocol=udp
add action=drop chain=input dst-port=1701 protocol=udp
add chain=output comment="Nepust ven L2TP odpoved serveru bez IPsec obalky" ipsec-policy=out,ipsec protocol=udp src-port=1701
add action=reject chain=output protocol=udp src-port=1701
add chain=input comment="wan-in: IPsec, IKEv1, IPsec over UDP" connection-state=new protocol=ipsec-esp
add chain=input connection-state=new dst-port=500,4500 protocol=udp


A ROS jako klient se k tomu připojující s pomocí L2TP/IPsec s PSK:

Kód: Vybrat vše

/ppp profile
add change-tcp-mss=yes name=l2tp use-compression=no use-encryption=required use-mpls=no
/interface l2tp-client
add allow=mschap2 connect-to=198.51.100.1 disabled=no max-mru=1400 max-mtu=1400 name=l2tp-client user=test password=TEST profile=l2tp use-ipsec=yes ipsec-secret=TajneHeslo

Pokud vynecháš to koncové "use-ipsec=yes ipsec-secret=TajneHeslo", tka se to bude připojovat jako holý L2TP klient bez IPsec obálky. IPsec část jde nastavit i ručně, pokud by bly člověk paranoidnější, protože defualtně to použije relativně slabé nastavneí cca na úrovni Windows XP.

Re: l2tp server via ipsec i bez něj na jednom MK

Napsal: 12 May 2016 21:44
od okoun
díky, ve směs to funguje až na to že se dá pomocí windows připojit na l2tp i bez ipsec což je díra jako hrom, nastavil jsem u toho profilu na serveru že use-encryption=required ale stejně s emohu připojit bez obálky :D
Všechny časy jsou v UTC+02:00
Stránka 1 z 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/