Bezpecny spoj MT<->MT

kubco2

Dobry den,

potrebujem vytvorit bezpecny spoj z prace domov, v praci IP verejna, doma mam neverejnu IP, a nie je moznost u ISP nic prestavit ....

pptp-cracknute

l2tp-nesifrovane

ovpn-nefunguje udp

Skusal som ipSec(esp) a vnom l2tp ... podaril sa mi vytvorit v transport mode, ale nie v tunel mode. Neviem ci je mozne vytvorit tunel bez povolenia portov u ISP ....

Ked som sa rozpraval s jednym znamym, povedal ze ovpn ide vytvorit aj pomocou UDP, no ja to nevidim. Tak som rozmyslal, ze by som nastavil normalne ovpn a packety prehadzoval do UDP, neviem ci to je mozne a ci sa to vobec oplati ,este som to neskusal ....

Moznost je aj vytvorit nejaky spoj pptp a az vnom vytvorit ipsec tunel, ale vytvorenie pptp nebude chranene, pripadne ak ujde nieco medzi pptp a ipsec, takze to nie je OK.

Existuje este ina moznost ako z MT na MT vytvorit nieco bezpecne?

Alebo funguje ipsec tunel aj ked som za FW,NAT len sa mi ho nepodarilo spravne nastavit?

Dakujem za pomoc.

ok2slc

ovpn-nefunguje udp

Je nezbytně nutné použití UDP ?

majklik

L2TP samozřejmě je i šifrované (uvnitř), nicméně pro něj platí to stejné, co pro PPTP - cracknuté.

OpenVPN není v UDP na ROS podporováno (obecně ano), nicméně OpenVPN bychse vyhnul.

Pokud ti zafungoval IPsec v transportním režimu, tak máš problém vyřešen. uvnitř transportu si už pustíš co potřebuješ. Třba to L2TP (a šifrování na PPP vrstvě si vypneš, to zařídí ta IPsec obálka). Přesně takto funguje klasický L2TP/IPsec VPN tunel ve windows.

Pokud to má být pro občasné používání a né moc dat (číli ne trvalé propojení pobočky hrnoucí tuny dat), tak v takové konfiguraci je rozumná varianta SSTP, které je taktéž podporování a s NATem problém nemá. V připadě propoje MT-MT můžeš použít i vychytávku i s certifikátem na klientu. Mám tímto udělány desítky tunelů do dvou cntrálních RB1100AHx2 z dálkového dohledování motorů (uvnitř jde jen něco málo pravidelně technologockých dat dotazovaných přes Modbus/TCP.

Pokud je požadavek na přenos dat větší, trvalejší a neuchodíš tu L2TP/IPsec variantu, tak se dá použít opak. Jde udělat L2TP tunel, který se nešifruje (pro ověření se použije pouze CHAP protokol. Ne PAP, MS-CHAPv1/2) a uvnitř si pustíš IPsec tunel nebo IPsec transport v kterém bude uvnitř GRE neob IPIP. Záleží na tom, co vše potřebuješ tím tunelem tlačit. Toto taktéž používám (kd epotřebuji využít HW podporu šifrování, která funguje jen pro IPsec a ne jiné).

black_angel1

neviem poradit k teme ale mam skor otazku

akoze pptp sa da zneuzit ?

L2TP samozřejmě je i šifrované (uvnitř), nicméně pro něj platí to stejné, co pro PPTP - cracknuté.

mam vpn na MK z domu do prace tak sa asi nemusim cudovat preco zmizli nastavenia z mojho MK

kubco2

ok2slc: ano, najlepsie UDP.

Majklik:

Takze moznost je l2tp v ipSec alebo ipSec v l2tp.

Chcem si to teda dat dokopy, tak sa este spytam.

V pripade l2tp v ipSec transportnom mode, ktory fungoval, by sa to spolu malo chovat rovnako bezpecne ako ipSec tunel, teda ipSec tunel navyse meni hlavicku, ale to by teraz robil l2tp(vnutri vpn), ipSec tunel by teda mal vyuzitie skor keby to je bez dalsich vpn tunelov, ano??

Vdaka

kubco2

Tak som sa zamyslel a ked to bude l2tp v ipSec tak sa nikto s rovnakou IP nenapoji, tak som to vsetko prerobil na ipsec tunel v l2tp .... Vsetko ide v pohode kym neprenasam velke packety.

Ked dam ping do siete v praci, tak ked dam velky packet skusal som

50 ok

1 400 ok

5 000 ok

50 000 - neprejde, po 5 sekundach padne vpn, po dalsich 5 sekundach nedokazem pingnut verejnu IP, a dokopy po nejakych 30sekundach sa zablokuje/znefunkcni cely mikrotik v praci, ide sa na neho napojit iba cez MAC a treba dat restart

bez ipSec ide vpohode aj 65 000

Neviete cim to moze byt? V ipSec nastaveniach su iba IP adresy, to by malo byt vsetko nastavene OK

majklik

To bue možná nějaký bug. IPsec musí původní pakety fragmentovat. Je možné, že když uděláš paket delší, kdy dlká paketu, plus všechny IPsec záhlaví přelezou 64 kilo, tka to zdechne a lehne.

Jinka IPsec transport s epoužívá, když potřebuji řešit zabezpečenou komunikci jen dvou počítačů mezi sebou. IPsec tunel, pokud aspoň na jendé nebo obou straních je třeba LAN segment (zabezpečuji dat od víc počítačů). Jiná varianta je použití nějakého tunelovacího mechanismu na bázi IPIP, GRE, L2TP, ... a pak totto pro zabezpečení stačí obalit pomocí IPsec transportu. IPsec transport má menší režii než IPsec tunel (nepřenáší se vnitřní IP záhlaví).

Ta varianbta IPsec uvnitř L2TP je v podstatě podvod pro obejití blbého NATu. IPsec by to měl normálně ustát pomocí NAT-T rozšíření, které defacto fuguje stejně jako L2TP, ale pokud mají některé NAT krámy snahy do NAT-T šahat pomocí helperů, tak to spíše rozbijí...

telleke

Využiju toto vlákno, ať zbytečně nezakládám další.

Mám problém se s VPNkou v podobě L2TP. 2 routerboardy, dvě sítě

RB750 - veřejná IP, L2TP server, eth2 192.168.5.0/24 (veřejná ip xxx.yy.120.210 na eth1)

RB2011L - veřejná IP, L2TP klient, eth2 192.168.1.0/24

Tunel - 172.16.1.1, 172.16.1.2

Postupoval jsem podle návodu zde http://wiki.mikrotik.com/wiki/Manual/L2TP , část Site-to-Site L2TP. Spojení mezi sítěmi mi chodí. Z jedné se dostanu do druhé a opačně. Na zařízení v druhé síti se musím připojovat pomocí IP, nechodí mi překlad jmen. S tím bych se ještě dokázal zžít. Nicméně přímo k problému.

Na RB750 jsem si vytvořil dalšího uživatele, který se připojuje pomocí L2TP. Dostanu IP adresu z LAN rozsahu 192.168.5.X. Mužu se připojit pouze do sítě na té RB750, tedy 192.168.5.0/24, šáhnu si na kteréholiv zařízení na LAN, ale už se nedostanu do 192.168.1.0/24 které je na druhé straně tunelu.

Jakým způsobem zařídit, abych se mohl pomocí L2TP připojit na RB750, odtud prolezl tunelem na RB2011L a odtud se dostal na zařízení na adrese například 192.168.1.50?

Díky za každou radu...

<--- ia0 -->vpn.jpg<--- ia0 -->

telleke

Nikdo neví? :-(

Přikládám obrázek pro lepší představu...

<--- ia0 -->sit.jpg<--- ia0 -->

telleke

Nikdo neví? :-(

majklik

Čert ví, co tam máš nastaveno. :-)

Ale nejpraděpodbněji:

a) blbě nastavneé routy na MKčkách,

b) blbě nastavný firewall/NAT.

ad a)

naRB750 č. 2 mují být route záznam routující segment 192.168.1.0/24 do toho vpn tunelu k RB750č.1 a zároveň na RB2011 musí být routa, že segment 192.168.0.0/24 se má posílat do toho L2TP tunelu.

Pokud to tam není, tak doplnit a třeba to začne fungovat (jiná varianta by byal dynamickoý routing přes tunely, ale pro takovou primitivnost zbytečnost).

telleke

No vida, už to chodí : Jak jednoduché...Kdo by to byl řekl, že musí být routa i na té 2011 ;) Děkuji ti za pomoc dobrá duše :)