l2tp server via ipsec i bez něj na jednom MK

okoun

Zdravím, měl bych dotaz zda je možné rozject na ROS mikrotik VPN server kde budou l2tp ipsec tunely a samotné l2tp tunely bez ipsecu. Ty bez ipsecu by měly jako klienta pouze mikrotiky a ty s ipsecem by měly klienta jen windows stanice. Vše by bylo bez certifikátů pouze s PSKčkem.

Prosím o radu jak na to.

Díky

majklik

Ano, jde to. V podstatě, pokud si sám ručně nevynutíš pomocí firewallu nebo ipsec policy nutnost IPsec vrstvy, tak to L2TP server neřeší a přijme holé L2TP spojneí a i obalené pomocí IPsec transportu.

Asi jediná zrada může být u novějších ROSů, kde když L2TP server si všimne, že je nastaven nějak i IPsec a dáš do PPP profilu nutnost použití šifrování, tak bude chtít, aby to mělo IPsec obálku a nevezme nativní L2TP šifrování pomocí MPPE. Takže v takovéto sestavě by ty holé L2TP tunely musely být úplně bez šifrování. Takže pokud nechceš takovou šaškárnu, tak asi můžeš použít i L2TP/IPSec mezi těmi RBčky. Nastavení v novějších ROSech je snad na 2 kliknutí.

majklik

Pokud to chceš i s konfigurací, tak třeba takto pro L2TP část na serveru:

/ppp profile

add change-tcp-mss=yes dns-server=8.8.8.8 incoming-filter=rw-in local-address=10.255.0.1 name=l2tp/ipsec use-encryption=yes use-upnp=no

/ppp secret

add name=test password=TEST profile=l2tp/ipsec remote-address=10.255.0.2 service=l2tp

/interface l2tp-server server

set authentication=mschap2 default-profile=l2tp/ipsec enabled=yes max-mru=1400 max-mtu=1400

IPsec vrstva nastavená ručně:

/ip ipsec proposal

set [ find default=yes ] auth-algorithms=sha1,sha256,sha512 enc-algorithms=3des,aes-128-cbc,aes-192-cbc,aes-256-cbc lifetime=1h pfs-group=modp2048

/ip ipsec peer

add address=0.0.0.0/0 enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=port-override lifetime=8h local-address=0.0.0.0 passive=yes secret=TajneHeslo send-initial-contact=no

/ip ipsec policy

set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0

Fakticky u novějších ROSů nemusí tu IPsec vrstvu ani sám nastavovat, stačí k L2TP serveru přilepit parametry "use-ipsec=yes ipsec-secret=TajneHeslo" a IPsec si to nastaví samo tak, aby se Windowsy a podobné dokázaly připojit. Toto nevynurí nutnost IPsec obálky pro L2TP, tu vynutí až pokud by v tom PPP profilu bylo použito use-encryption=required, takže s use-encryption=yes to dovolí připojit L2TP klienta s IPsec obálkou i bez ní. Jiný způsob vynucení IPsecu (a trochu bezpečnější) je ve firewallu něco jako:

/ip firewall filter

add chain=input comment="Nepust dovnitr L2TP bez IPsec obalky" dst-port=1701ipsec-policy=in,ipsec protocol=udp

add action=drop chain=input dst-port=1701 protocol=udp

add chain=output comment="Nepust ven L2TP odpoved serveru bez IPsec obalky" ipsec-policy=out,ipsec protocol=udp src-port=1701

add action=reject chain=output protocol=udp src-port=1701

add chain=input comment="wan-in: IPsec, IKEv1, IPsec over UDP" connection-state=new protocol=ipsec-esp

add chain=input connection-state=new dst-port=500,4500 protocol=udp

A ROS jako klient se k tomu připojující s pomocí L2TP/IPsec s PSK:

/ppp profile

add change-tcp-mss=yes name=l2tp use-compression=no use-encryption=required use-mpls=no

/interface l2tp-client

add allow=mschap2 connect-to=198.51.100.1 disabled=no max-mru=1400 max-mtu=1400 name=l2tp-client user=test password=TEST profile=l2tp use-ipsec=yes ipsec-secret=TajneHeslo

Pokud vynecháš to koncové "use-ipsec=yes ipsec-secret=TajneHeslo", tka se to bude připojovat jako holý L2TP klient bez IPsec obálky. IPsec část jde nastavit i ručně, pokud by bly člověk paranoidnější, protože defualtně to použije relativně slabé nastavneí cca na úrovni Windows XP.

okoun

díky, ve směs to funguje až na to že se dá pomocí windows připojit na l2tp i bez ipsec což je díra jako hrom, nastavil jsem u toho profilu na serveru že use-encryption=required ale stejně s emohu připojit bez obálky