L2TP/IPsec
-
Согласен, но любой сохраненный пароль можно угнать.
Например пароли VPN-соединений, сохраненные в Windows:
http://www.nirsoft.net/utils/dialupass.htmlМне наоборот нравится, что обычный пользователь не сможет сохранить пароль в OpenVpnClient для Windows.
-
Согласен, но любой сохраненный пароль можно угнать.
Например пароли VPN-соединений, сохраненные в Windows:
http://www.nirsoft.net/utils/dialupass.htmlэто уже если у человека будет доступ к запуску приложений. а так просто по самбе зайти и взять)
на самом деле уже почти все работает. причем из LAN у меня соединение по L2TP/Ipsec проходит. не проходит только с WAN порта. тут что то с NATом. в логах Ipsec все красиво. не стартует LTP демон или что-то там.
по логам в инструкции должно быть так
"Feb 4 13:56:37 charon: 14[IKE] CHILD_SA con1{1} established with SPIs cfcf5cfc_i 4beb8c5a_o and TS 192.0.2.90/32|/0[udp/l2f] === 192.0.2.52/32|/0[udp/l2f]
Feb 4 13:56:40 charon: 14[KNL] interface l2tp0 activated
Feb 4 13:56:40 charon: 15[KNL] 192.168.32.1 appeared on l2tp0"у меня не активируется L2tp0
висит на строке
Feb 4 13:56:37 charon: 14[IKE] CHILD_SA con1{1} established with SPIs cfcf5cfc_i 4beb8c5a_o and TS 192.0.2.90/32|/0[udp/l2f] === 192.0.2.52/32|/0[udp/l2f] -
это уже если у человека будет доступ к запуску приложений. а так просто по самбе зайти и взять)
По самбе в \Program Files\OpenVPN тоже не каждого пустит, при желании конфиг можно положить в папку с еще более жесткими ограничениями. Идеально, конечно, если бы пароль хешировался.
Мое глубокое убеждение - сохраненный пароль, особенно в носимых устройствах - зло.
-
это уже если у человека будет доступ к запуску приложений. а так просто по самбе зайти и взять)
По самбе в \Program Files\OpenVPN тоже не каждого пустит, при желании конфиг можно положить в папку с еще более жесткими ограничениями. Идеально, конечно, если бы пароль хешировался.
Мое глубокое убеждение - сохраненный пароль, особенно в носимых устройствах - зло.
вот если бы в хеше - тогда было бы хорошо) ну или, на худой конец, хотя бы имя пользователя сохраняло.
-
елки палки. неужели так и нет решения проблемы???!!!
-
Доброе.
Ув. dronsky, Вы наверное думаете ,что все тут только Вашей проблемой и занимаются ?
Тем более, что Ваш последний пост от января.А теперь проза :
1. Ни версии пф.
2. Ни схемы сети.
3. Ни скринов того, что настраивали.P.s. Не любите моск. Настраивайте OpenVPN.
-
доброе.
не. я так не думаю.
про январь не понял.версия пф 2.2.4 и 2.2.6 - ни там ни там не работает.
зачем здесь схема сети? просто не работает подключение по l2tp с использованием ipsec на WAN порт.
на LAN работает, кстати, я об этом уже писал.
в WAN rules 1701, 500, 4500 udp открыты. (в начале пробовал только 1701 UDP)
настраивал по мануалу отсюда https://doc.pfsense.org/index.php/L2TP/IPsec#L2TP_Connect
в логах
Feb 26 15:18:18 charon: 11[ENC] <con1|22>parsed QUICK_MODE request 1 [ HASH ]
Feb 26 15:18:18 charon: 11[IKE] <con1|22>CHILD_SA con1{1} established with SPIs c5fe85e2_i a74706be_o and TS xxx.xxx.xxx.xxx/32|/0[udp/l2f] === xxx.xxx.xxx.xxx/32|/0[udp/l2f]
Feb 26 15:18:53 charon: 11[NET] <con1|22>received packet: from xxx.xxx.xxx.xxx[30233] to xxx.xxx.xxx.xxx[4500] (76 bytes)
Feb 26 15:18:53 charon: 11[ENC] <con1|22>parsed INFORMATIONAL_V1 request 3376873254 [ HASH D ]
Feb 26 15:18:53 charon: 11[IKE] <con1|22>received DELETE for ESP CHILD_SA with SPI a74706be
Feb 26 15:18:53 charon: 11[IKE] <con1|22>closing CHILD_SA con1{1} with SPIs c5fe85e2_i (685 bytes) a74706be_o (0 bytes) and TS xxx.xxx.xxx.xxx/32|/0[udp/l2f] === xxx.xxx.xxx.xxx/32|/0[udp/l2f]
Feb 26 15:18:53 charon: 11[NET] <con1|22>received packet: from xxx.xxx.xxx.xxx[30233] to xxx.xxx.xxx.xxx[4500] (92 bytes)
Feb 26 15:18:53 charon: 11[ENC] <con1|22>parsed INFORMATIONAL_V1 request 2009522726 [ HASH D ]
Feb 26 15:18:53 charon: 11[IKE] <con1|22>received DELETE for IKE_SA con1[22]
Feb 26 15:18:53 charon: 11[IKE] <con1|22>deleting IKE_SA con1[22] between xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx]…xxx.xxx.xxx.xxx [192.168.1.47]на клиенте - ошибка 809
опенвпн настроен и работает, но с ним гораздо больше неудобств.
мне просто интересно. неужели никто не использовал l2tp/ipsec ??!!</con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22>
-
про январь не понял.
Posted by: dronsky
« on: January 14, 2016, 01:06:02 am »опенвпн настроен и работает, но с ним гораздо больше неудобств.
Подробнее, пож-та.
-
не оставляю попыток, от версии к версии проверять работу L2tp/Ipsec
может все таки кто-то, случайно победил L2tp/Ipsec на WAN порту???
-
PFSence 2.3.1
Удалось запустить L2TP, но без IPSec шифрования на WAN.
А при попытке подключиться с включеным IPSec - отваливаеться с ошибкой 809.
бьюсь уже 3 сутки, перепробовал все, что нашел мануалы по настройке - пока без результата.
Шаманю дальше, но идет медленно т.к. все эксперементы проходят на живую.Если нужен описание как и что уже работает - обращайтесь.
-
Доброе.
Скрины были бы кстати.P.s. Зачем вам л2тп ??
-
На сколько я знаю L2TP нативно поддерживается windows, android и рядом относительно современных роутеров.
-
OpenVPN идет из коробки у асусов.
З.ы. Все же хотелось бы ответа от ТС, а не догадок. -
IPSec использовал с техникой Apple, у них в стандартном пакете в MacOS все идет. Не знаю в чем проблема у ТС, там вроде все по шагам просто и на одной странице настраивается.
-
если честно, уже раздражает этот ответ - "Ставьте OpenVPN и забудьте про l2tp"
вот ситуация - 100 юсеров подключались к Microsoft ISA сервер, который мы, слава тебе Господи, наконец то удалили.
у всех юсеров все настроено для подключения по l2tp/ipsec.вот мы переходим на Pfsense. все хорошо и замечательно, ну вот незадача - не работает L2tp/ipsec снаружи. и вы предлагаете ста юсерам перенастроить все, да и еще и сказать - теперь вы будете вводить имя пользователя и пароль…
да и они сами пальцем не пошевелят, чтоб что-то там перенастроить. т.е. придется ко всем подключатся и настраивать.
и ладно бы в Pfsense не было L2tp сервера, я бы сидел и помалкивал, так он же там есть) и даже есть мануал по его настройке, и он почти работает, просто проблема где-то в NAT, потому как на LAN интерфейс l2tp/ipsec клиент подключается... вот, что огорчает и заставляет писать сюда :)
PS - не обращайте внимания - крик души )
-
если честно, уже раздражает этот ответ - "Ставьте OpenVPN и забудьте про l2tp"
Это болезнь всех русскоязычных форумов :) Лучше на английском информацию искать…
Проблему подтверждаю - бьюсь второй день, безрезультатно. Стоит последняя версия pfSense - 2.3.2_1.
Пробовал разные клиенты: Windows 8.1 из-за NAT, Windows 8.1 через прямое соединение, Android через 3G/4G.
Добавлял правила для WAN, менял PSK Identifier с allusers на any и обратно, колдовал с алгоритмами шифрования, менял подсети - результат один: не подключается, на клиенте Windows ошибка 809 (если установить некорректные алгоритмы, ошибка меняется на 789, но это легко поправимо).
Ах да, внутренняя подсеть 192.168.200.0/24, шлюз для L2TP - 192.168.201.1, подсеть для L2TP - 192.168.201.128/25.
Настраивал по документации с оф.сайта (https://doc.pfsense.org/index.php/L2TP/IPsec), опыт настройки различного сетевого оборудования немалый, в IPSec разбираюсь.
Туннели на той же машине прекрасно работают, а L2TP - ни в какую.Вот кусок лога при подключении:
Oct 20 23:40:52 pfSense charon: 14[IKE] 5.5.5.5 is initiating a Main Mode IKE_SA
Oct 20 23:40:52 pfSense charon: 14[IKE] <8> 5.5.5.5 is initiating a Main Mode IKE_SA
Oct 20 23:40:52 pfSense charon: 14[ENC] <8> generating ID_PROT response 0 [ SA V V V V ]
Oct 20 23:40:52 pfSense charon: 14[NET] <8> sending packet: from 10.10.10.10[500] to 5.5.5.5[500] (156 bytes)
Oct 20 23:40:52 pfSense charon: 08[NET] <8> received packet: from 5.5.5.5[500] to 10.10.10.10[500] (260 bytes)
Oct 20 23:40:52 pfSense charon: 08[ENC] <8> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Oct 20 23:40:52 pfSense charon: 08[IKE] remote host is behind NAT
Oct 20 23:40:52 pfSense charon: 08[IKE] <8> remote host is behind NAT
Oct 20 23:40:52 pfSense charon: 08[ENC] <8> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Oct 20 23:40:52 pfSense charon: 08[NET] <8> sending packet: from 10.10.10.10[500] to 5.5.5.5[500] (244 bytes)
Oct 20 23:40:52 pfSense charon: 08[NET] <8> received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (68 bytes)
Oct 20 23:40:52 pfSense charon: 08[ENC] <8> parsed ID_PROT request 0 [ ID HASH ]
Oct 20 23:40:52 pfSense charon: 08[CFG] <8> looking for pre-shared key peer configs matching 10.10.10.10…5.5.5.5[192.168.0.2]
Oct 20 23:40:52 pfSense charon: 08[CFG] <8> selected peer config "con1"
Oct 20 23:40:52 pfSense charon: 08[IKE] IKE_SA con1[8] established between 10.10.10.10[10.10.10.10]…5.5.5.5[192.168.0.2]
Oct 20 23:40:52 pfSense charon: 08[IKE] <con1|8>IKE_SA con1[8] established between 10.10.10.10[10.10.10.10]…5.5.5.5[192.168.0.2]
Oct 20 23:40:52 pfSense charon: 08[IKE] scheduling reauthentication in 27961s
Oct 20 23:40:52 pfSense charon: 08[IKE] <con1|8>scheduling reauthentication in 27961s
Oct 20 23:40:52 pfSense charon: 08[IKE] maximum IKE_SA lifetime 28501s
Oct 20 23:40:52 pfSense charon: 08[IKE] <con1|8>maximum IKE_SA lifetime 28501s
Oct 20 23:40:52 pfSense charon: 08[ENC] <con1|8>generating ID_PROT response 0 [ ID HASH ]
Oct 20 23:40:52 pfSense charon: 08[NET] <con1|8>sending packet: from 10.10.10.10[4500] to 5.5.5.5[4500] (68 bytes)
Oct 20 23:40:52 pfSense charon: 12[NET] <con1|8>received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (332 bytes)
Oct 20 23:40:52 pfSense charon: 12[ENC] <con1|8>parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Oct 20 23:40:52 pfSense charon: 12[IKE] received 250000000 lifebytes, configured 0
Oct 20 23:40:52 pfSense charon: 12[IKE] <con1|8>received 250000000 lifebytes, configured 0
Oct 20 23:40:52 pfSense charon: 12[ENC] <con1|8>generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Oct 20 23:40:52 pfSense charon: 12[NET] <con1|8>sending packet: from 10.10.10.10[4500] to 5.5.5.5[4500] (204 bytes)
Oct 20 23:40:52 pfSense charon: 12[NET] <con1|8>received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (60 bytes)
Oct 20 23:40:52 pfSense charon: 12[ENC] <con1|8>parsed QUICK_MODE request 1 [ HASH ]
Oct 20 23:40:52 pfSense charon: 12[IKE] CHILD_SA con1{26} established with SPIs c1933abc_i 0e115774_o and TS 10.10.10.10/32|/0[udp/l2f] === 5.5.5.5/32|/0[udp/l2f]
Oct 20 23:40:52 pfSense charon: 12[IKE] <con1|8>CHILD_SA con1{26} established with SPIs c1933abc_i 0e115774_o and TS 10.10.10.10/32|/0[udp/l2f] === 5.5.5.5/32|/0[udp/l2f]
Oct 20 23:41:27 pfSense charon: 05[NET] <con1|8>received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (76 bytes)
Oct 20 23:41:27 pfSense charon: 05[ENC] <con1|8>parsed INFORMATIONAL_V1 request 380039615 [ HASH D ]
Oct 20 23:41:27 pfSense charon: 05[IKE] received DELETE for ESP CHILD_SA with SPI 0e115774
Oct 20 23:41:27 pfSense charon: 05[IKE] <con1|8>received DELETE for ESP CHILD_SA with SPI 0e115774
Oct 20 23:41:27 pfSense charon: 05[IKE] closing CHILD_SA con1{26} with SPIs c1933abc_i (750 bytes) 0e115774_o (0 bytes) and TS 10.10.10.10/32|/0[udp/l2f] === 5.5.5.5/32|/0[udp/l2f]
Oct 20 23:41:27 pfSense charon: 05[IKE] <con1|8>closing CHILD_SA con1{26} with SPIs c1933abc_i (750 bytes) 0e115774_o (0 bytes) and TS 10.10.10.10/32|/0[udp/l2f] === 5.5.5.5/32|/0[udp/l2f]
Oct 20 23:41:27 pfSense charon: 13[NET] <con1|8>received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (84 bytes)
Oct 20 23:41:27 pfSense charon: 13[ENC] <con1|8>parsed INFORMATIONAL_V1 request 2453243046 [ HASH D ]
Oct 20 23:41:27 pfSense charon: 13[IKE] received DELETE for IKE_SA con1[8]
Oct 20 23:41:27 pfSense charon: 13[IKE] <con1|8>received DELETE for IKE_SA con1[8]
Oct 20 23:41:27 pfSense charon: 13[IKE] deleting IKE_SA con1[8] between 10.10.10.10[10.10.10.10]…5.5.5.5[192.168.0.2]
Oct 20 23:41:27 pfSense charon: 13[IKE] <con1|8>deleting IKE_SA con1[8] between 10.10.10.10[10.10.10.10]…5.5.5.5[192.168.0.2]</con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8>Здесь 5.5.5.5 - клиент, 10.10.10.10 - адрес на WAN-интерфейсе. Подключение прямое - белый IP выдает провайдер.
В логах L2TP - тишина. Служба сообщает об успешном запуске и ожидании подключений. Но ни одного подключения нет…
Правила All-To-All в секциях IPSec и L2TP добавлял, порт 1701 UDP открыт (проверял с помощью nmap).Судя по логам, канал IPSec успешно создается, но до mpd ничего не доходит (в веб-интерфейсе для правила L2TP значится 0/0).
По мне, так это какой-то баг...
-
Все, вопрос снимается. Они на странице настройки L2TP/IPsec в вики написали: Users have reported issues with Windows L2TP/IPsec clients behind NAT. If the clients will be behind NAT, Windows clients will most likely not function. Consider an IKEv2 implementation instead.
По отзывам англоязычной аудитории, работает подключение только с iOS или напрямую (без NAT). К сожалению, проверить не на чем :(
Так что настраиваем IKEv2: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2 -
Так что настраиваем IKEv2:
Настроил по этой инструкции, виртуальную сеть указал 192.168.32.0/24, в НАТ аут стоит авто и эта виртуальная сеть имеется в списке. На клиенте маршруты сети удалённого офиса (192.168.1.0/24) не прописались. Вопрос: как объявить маршруты для удалённых клиентов?
-
Так что настраиваем IKEv2:
Настроил по этой инструкции, виртуальную сеть указал 192.168.32.0/24, в НАТ аут стоит авто и эта виртуальная сеть имеется в списке. На клиенте маршруты сети удалённого офиса (192.168.1.0/24) не прописались. Вопрос: как объявить маршруты для удалённых клиентов?
Или используете это соединение как маршрут по умолчанию, или дописываете вручную
-
PbIXTOP, Можно конечно и так, но это ведь не цивилизованно, в OpenVPN например указываешь local network и remote network и всё, маршрутизируется на "Ура".
Может есть ещё у кого мысли, как средствами сервера решить доставку верного маршрута?
