Комментарии 54
Поставил минус за то, что в статье нет разбора проблемы на сетевом уровне, или хотя бы ссылки на такой обзор.
Кстати, кто скажет они починили баг, когда нельзя было поднять больше 1 соединение по l2tp из одной локальной сети за NAT?
По сути нет, так как проблема в реализации ike1. Если извернуться с ike2, как в этой статье, то должно работать.
А можно выложить более подробно с конфигами?
И в такой связки есть подключение с ios и android?
И в такой связки есть подключение с ios и android?
У меня в качестве сервера Linux + strongswan, а mikrotik как клиент. Может кто еще поделится? Сервер на mikrotik пока еще не планировали, может в лаборатоном окружении сделаю.
Просто в небольшой офис ставится mikrotik и ставить еще linux для l2tp как-то ненужно.
Openvpn конечно спасает, но вот это вечная генерация ключей на разные организации и отсутствие бесплатного PKI для всего этого, делает печальным котиком.
Openvpn конечно спасает, но вот это вечная генерация ключей на разные организации и отсутствие бесплатного PKI для всего этого, делает печальным котиком.
Думаю это вам сильно поможет: easy-rsa
Не отменяет генерацию сертификатов, но позволяет немного автоматизировать процесс.
Не отменяет генерацию сертификатов, но позволяет немного автоматизировать процесс.
Нет, ну я не полный извините дятел. Но easy-rsa не очень удобен, особенно когда у вас несколько разных организаций и люди далеки от этого, а иногда надо.
Да много вопросов по безопасности сразу, поэтому вариант с l2tp самый оптимальный.
Да много вопросов по безопасности сразу, поэтому вариант с l2tp самый оптимальный.
А как вы представляете работу с PKI. Чего вам не хвмтает в easy-rsa?
Мне хватает всего, а вот людям нужен простой gui.
Писать GUI скрипты к скриптам, что-то как то совсем overkill.
Писать GUI скрипты к скриптам, что-то как то совсем overkill.
В OpenVPN PKI меня немного смущает такоя концепция — для того чтобы отключить пользователя нужно создать сущность (запись в списке отзыва), а не удалить (логин/пароль из базы/конфига).
Т.о. админ перед увольнением может создать себе сколько угодно сертификатов невнося их в реестр выданных.
Т.о. админ перед увольнением может создать себе сколько угодно сертификатов невнося их в реестр выданных.
PKI есть прямо в ROS — хорошая статья на эту тему https://habrahabr.ru/post/269679/
Нашел в записях по изменениям
>added support unique policy generation which will allow multiple peers behind the same NAT (cli only)
Но честно говоря, я не понял как это использовать :/
>added support unique policy generation which will allow multiple peers behind the same NAT (cli only)
Но честно говоря, я не понял как это использовать :/
А потом тут:
One thing here caught my attention: «ROS 7 will remove the restriction for having more than one L2TP/IPSEC user behind the same NATed network».
My understanding is that the router on the client side (road warrior) side of the equation is the one that cannot distinguish the traffic, not the server side router. Therefore, nothing can be done on the server side to remedy the situation.
https://support.microsoft.com/en-us/help/2028625/only-one-of-the-clients-that-are-behind-the-same-nat-device-can-create-l2tp-vpn-connections-to-a-vpn-server-that-is-running-windows-server-2008-r2
В общем пока будем использовать недо openvpn :/
Или использовать только ios и android.
>Mikrotik — No it will not work. We will not focus on l2tp/ipsec since mostly all vendors are switching to ike2 and l2tp/ipsec becomes deprecated.
One thing here caught my attention: «ROS 7 will remove the restriction for having more than one L2TP/IPSEC user behind the same NATed network».
My understanding is that the router on the client side (road warrior) side of the equation is the one that cannot distinguish the traffic, not the server side router. Therefore, nothing can be done on the server side to remedy the situation.
https://support.microsoft.com/en-us/help/2028625/only-one-of-the-clients-that-are-behind-the-same-nat-device-can-create-l2tp-vpn-connections-to-a-vpn-server-that-is-running-windows-server-2008-r2
В общем пока будем использовать недо openvpn :/
Или использовать только ios и android.
>Mikrotik — No it will not work. We will not focus on l2tp/ipsec since mostly all vendors are switching to ike2 and l2tp/ipsec becomes deprecated.
У нас Микротик стоит за НАТ и выступает в качестве сервера VPN — так вот несколько подключений l2tp спокойно поднимаются одновременно клиентами за еще одним НАТ.
Тут проблема немного иная.
Если несколько клиентов из-за одного и того-же NAT идут к одному и тому-же серверу (mikrotik), тогда и были проблемы. Были исправления к ike1, которые исправляли эту проблему, но не на всех ситуациях оно работало, была большая зависимость от клиента (при использовании xauth вообще не было проблемы).
Если несколько клиентов из-за одного и того-же NAT идут к одному и тому-же серверу (mikrotik), тогда и были проблемы. Были исправления к ike1, которые исправляли эту проблему, но не на всех ситуациях оно работало, была большая зависимость от клиента (при использовании xauth вообще не было проблемы).
Мы кажется тестировали такой кейс — расшарил инет с телефона и подключил два компа к нему — да, первое соединение отваливалось при подключении второго клиента. Но у нас такой кейс пока в реальности маловероятен, несмотря на 300 сотрудников, VPN ом пользуются немного сотрудников и крайне маловероятно, что два сотрудника из дома с одного НАТа пойдут в VPN на работу :)
Но есть вероятность объединения офисов — но тогда проще поднять один туннель между офисами, чтобы клиентами не пришлось поднимать каждому VPN
Но есть вероятность объединения офисов — но тогда проще поднять один туннель между офисами, чтобы клиентами не пришлось поднимать каждому VPN
>, VPN ом пользуются немного сотрудников и крайне маловероятно, что два сотрудника из дома с одного НАТа пойдут в VPN на работу :)
Может быть два устройства у одного сотрудника.
Может быть два устройства у одного сотрудника.
Или из одной гостиницы несколько людей домой/на работу коннектятся.
Пофиксили :)
*) l2tp — added support for multiple L2TP tunnels (not to be confused with sessions) between same endpoints (required in some LNS configurations);
*) l2tp — added support for multiple L2TP tunnels (not to be confused with sessions) between same endpoints (required in some LNS configurations);
Праздник) спасибо.
LNS configurations — это где?
У кого получилось настроить? Обновился на ROS 3.9.1 из описания которой строчка выше. Не работает, проверял на разшареном со смартфона интернете, при подключении 2-го клиента, 1-го выбрасывает. Все как раньше.
Попробую протестировать у себя.
А авторизация случаем не PSK?
Проблема нескольких клиентов за одним NAT у меня разрешилась после применения RSA Signature авторизации. Все клиенты сидять за usb gsm модемами, ранее на ike1 psk вообще не соединялись, ike2 решил проблему с ph2, а отказ от PSK — вышибание клиентов.
Проблема нескольких клиентов за одним NAT у меня разрешилась после применения RSA Signature авторизации. Все клиенты сидять за usb gsm модемами, ранее на ike1 psk вообще не соединялись, ike2 решил проблему с ph2, а отказ от PSK — вышибание клиентов.
Пока такое крайне маловероятно у нас :)
Смысл статьи одной строчкой: если вас не устраивает генерация параметров IPSec автоматически — задайте их руками. Идея бесспорно здравая, но на статью не тянет имхо.
Ну и по мелочи. IKEv2 появился в ROS в 6.38. Почему Вы ссылаетесь именно на 6.38.1?
Ну и по мелочи. IKEv2 появился в ROS в 6.38. Почему Вы ссылаетесь именно на 6.38.1?
У меня l2tp без IPsec. MPPE128 stateless encoding используется. Есть варианты из одной серой NAT зоны подключиться нескольким клиентам?
Я бы порекомендовал отказаться от mppe, в виду его низкой стойкости.
Не понятно, что значит к нескольким клиентам? Один клиент за NAT без проблем устанавливает несколько соединений с другими серверами.
Не понятно, что значит к нескольким клиентам? Один клиент за NAT без проблем устанавливает несколько соединений с другими серверами.
Стойкость некритична. Роутер1-провайдер-провайдер-роутер 2. В середине этой цепочки я как-то в не ожидаю атаки. Лень настраивать было) посмотрю. Насчет клиентов наоборот. У роутера белый IP, а клиенты сидят в одной серой сети с одним внешним адресом.
Перехват трафика по середине вполне возможен, так что я бы не пренебригал этим.
Вторая описанная вами ситуация имела место при использовании ike1, сейчас там было много исправлений, и сработает ли он корректно — не знаю. Вот ike2 должен работать, однако тут сложности с настройками пира будут, тут уже политика для локального адреса задается, я такую конфигурацию еще не пробовал.
Вторая описанная вами ситуация имела место при использовании ike1, сейчас там было много исправлений, и сработает ли он корректно — не знаю. Вот ike2 должен работать, однако тут сложности с настройками пира будут, тут уже политика для локального адреса задается, я такую конфигурацию еще не пробовал.
Минус за небрежно сделанные скриншоты.
Пользуясь случаем спрошу:
А в чём смысл общего секрета в IPSec — как это увеличивает безопасность, ведь при увольнении сотрудника его придётся менять и рассылать заново всем, причём уже не через защищённый канал связи…
А в чём смысл общего секрета в IPSec — как это увеличивает безопасность, ведь при увольнении сотрудника его придётся менять и рассылать заново всем, причём уже не через защищённый канал связи…
Легкость настройки и поддержки в малых инсталляциях. Криптостойкойсть не на много хуже сертификатов.
Так если у каждого пользователя свой логин/пароль, зачем ещё общий? Ведь «знают двое — знает и свинья»?
Какой профит-то? Кроме дополнительных проблем с вводом ещё одного пароля?
Какой профит-то? Кроме дополнительных проблем с вводом ещё одного пароля?
Могу предположить, что соль/перец в шифровании. Не больше, не меньше.
Сам спеки не смотрел.
Сам спеки не смотрел.
PSK — Работает 1 в 1 как на домашнем WiFi, при желании, и на домашнем WiFi можно замутить WPA2-EAP/TLS, но это не удобно для домашнего использования. Для L2TP/IPSec это тоже имеет место быть, IPSec PSK защищает канал для L2TP от тупой долбежки, и дает приемлемый уровень шифрования (по сути тот-же, так как PSK нужен на первичной стадии, дальше уже сеансовые ключи будут уникальные). «Утечка» PSK не приводит к мгновенной дыре в безопасности, так как нужно еще на L2TP авторизоваться, но позволяет послушать чужой трафик (если перехватить обмен сеансовыми ключами).
Вышло обновление до Release 6.39.1
https://mikrotik.com/download/changelogs/current-release-tree
Список серьерзный и про ipsec и l2tp и ikev2
https://mikrotik.com/download/changelogs/current-release-tree
Список серьерзный и про ipsec и l2tp и ikev2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet