L2TP/IPsec



  • Доброго времени суток.

    Помогите окончательно не сломать голову с L2TP/IPsec, вроде всё настроил по мануалу. Вижу что удалённый комп достучался до сервера, но потом выкидывает с 809й ошибкой. Судя по логам ipsec единственная ругань идёт charon: 11[KNL] can't install route for XXX.YYY.YYY.YYY/32[udp/l2f] === XXX.XXX.XXX.XXX/32[udp/l2f] in, conflicts with IKE traffic. Гугление что то не спасает, конфиг уже несколько раз перекапывал. Может кто сталкивался и подскажет как вылечить?



  • https://forum.pfsense.org/index.php?topic=103094.0

    Вот тут  почитайте - рекомендую - сам мучался с L2TP/IPsec , в итоге  заработал OpenVPN



  • @dqdima:

    https://forum.pfsense.org/index.php?topic=103094.0

    Вот тут  почитайте - рекомендую - сам мучался с L2TP/IPsec , в итоге  заработал OpenVPN

    Прочитал уже) Я уже вроде все ветки с похожими словами просмотрел. PPTP работает прекрасно, ну на сколько это возможно. Вот Open пока не пробовал. Весь день убил на этот ipsec, то одно то другое.



  • Все же попробуйте Open VPN.
    В нем все просто\логично и очень гибко настраивается.



  • @pigbrother:

    Все же попробуйте Open VPN.
    В нем все просто\логично и очень гибко настраивается.

    Сейчас буду шаманить. Со свежей головой с утра на работе)



  • @pigbrother:

    Все же попробуйте Open VPN.
    В нем все просто\логично и очень гибко настраивается.

    да вот есть один очень большой минус.  в утилите OpenVpnClient для Windows нужно каждый раз вводить имя пользователя и пароль. либо хранить пароль в открытом виде в папке крнфигурации openvpn клиента



  • Согласен, но любой сохраненный пароль можно угнать.
    Например пароли VPN-соединений, сохраненные в Windows:
    http://www.nirsoft.net/utils/dialupass.html

    Мне наоборот нравится, что обычный пользователь не сможет сохранить пароль в  OpenVpnClient для Windows.



  • @pigbrother:

    Согласен, но любой сохраненный пароль можно угнать.
    Например пароли VPN-соединений, сохраненные в Windows:
    http://www.nirsoft.net/utils/dialupass.html

    это уже если у человека будет доступ к запуску приложений.  а так просто по самбе зайти и взять)

    на самом деле уже почти все работает.  причем из LAN у меня соединение по L2TP/Ipsec проходит.  не проходит только с WAN порта.  тут что то с NATом. в логах Ipsec все красиво.  не стартует LTP демон или что-то там.

    по логам в инструкции должно быть так

    "Feb 4 13:56:37 charon: 14[IKE] CHILD_SA con1{1} established with SPIs cfcf5cfc_i 4beb8c5a_o and TS 192.0.2.90/32|/0[udp/l2f] === 192.0.2.52/32|/0[udp/l2f]
    Feb 4 13:56:40 charon: 14[KNL] interface l2tp0 activated
    Feb 4 13:56:40 charon: 15[KNL] 192.168.32.1 appeared on l2tp0"

    у меня не активируется L2tp0
    висит на строке
    Feb 4 13:56:37 charon: 14[IKE] CHILD_SA con1{1} established with SPIs cfcf5cfc_i 4beb8c5a_o and TS 192.0.2.90/32|/0[udp/l2f] === 192.0.2.52/32|/0[udp/l2f]



  • это уже если у человека будет доступ к запуску приложений.  а так просто по самбе зайти и взять)

    По самбе в \Program Files\OpenVPN тоже не каждого пустит, при желании конфиг можно положить в папку с еще более жесткими ограничениями. Идеально, конечно, если бы пароль хешировался.

    Мое глубокое убеждение - сохраненный пароль, особенно в носимых устройствах - зло.



  • @pigbrother:

    это уже если у человека будет доступ к запуску приложений.  а так просто по самбе зайти и взять)

    По самбе в \Program Files\OpenVPN тоже не каждого пустит, при желании конфиг можно положить в папку с еще более жесткими ограничениями. Идеально, конечно, если бы пароль хешировался.

    Мое глубокое убеждение - сохраненный пароль, особенно в носимых устройствах - зло.

    вот если бы в хеше - тогда было бы хорошо) ну или, на худой конец, хотя бы имя пользователя сохраняло.



  • елки палки.  неужели так и нет решения проблемы???!!!



  • Доброе.
    Ув. dronsky, Вы наверное думаете ,что все тут только Вашей проблемой и занимаются ?
    Тем более, что Ваш последний пост от января.

    А теперь проза :

    1. Ни версии пф.
    2. Ни схемы сети.
    3. Ни скринов того, что настраивали.

    P.s. Не любите моск. Настраивайте OpenVPN.



  • доброе.

    не. я так не думаю.
    про январь не понял.

    версия пф 2.2.4 и  2.2.6  - ни там ни там не работает.

    зачем здесь схема сети? просто не работает подключение по l2tp с использованием ipsec на WAN порт.

    на LAN работает, кстати, я об этом уже писал.

    в  WAN rules 1701, 500, 4500 udp открыты. (в начале пробовал только 1701 UDP)

    настраивал по мануалу отсюда https://doc.pfsense.org/index.php/L2TP/IPsec#L2TP_Connect

    в логах
    Feb 26 15:18:18 charon: 11[ENC] <con1|22>parsed QUICK_MODE request 1 [ HASH ]
    Feb 26 15:18:18 charon: 11[IKE] <con1|22>CHILD_SA con1{1} established with SPIs c5fe85e2_i a74706be_o and TS xxx.xxx.xxx.xxx/32|/0[udp/l2f] === xxx.xxx.xxx.xxx/32|/0[udp/l2f]
    Feb 26 15:18:53 charon: 11[NET] <con1|22>received packet: from xxx.xxx.xxx.xxx[30233] to xxx.xxx.xxx.xxx[4500] (76 bytes)
    Feb 26 15:18:53 charon: 11[ENC] <con1|22>parsed INFORMATIONAL_V1 request 3376873254 [ HASH D ]
    Feb 26 15:18:53 charon: 11[IKE] <con1|22>received DELETE for ESP CHILD_SA with SPI a74706be
    Feb 26 15:18:53 charon: 11[IKE] <con1|22>closing CHILD_SA con1{1} with SPIs c5fe85e2_i (685 bytes) a74706be_o (0 bytes) and TS xxx.xxx.xxx.xxx/32|/0[udp/l2f] === xxx.xxx.xxx.xxx/32|/0[udp/l2f]
    Feb 26 15:18:53 charon: 11[NET] <con1|22>received packet: from xxx.xxx.xxx.xxx[30233] to xxx.xxx.xxx.xxx[4500] (92 bytes)
    Feb 26 15:18:53 charon: 11[ENC] <con1|22>parsed INFORMATIONAL_V1 request 2009522726 [ HASH D ]
    Feb 26 15:18:53 charon: 11[IKE] <con1|22>received DELETE for IKE_SA con1[22]
    Feb 26 15:18:53 charon: 11[IKE] <con1|22>deleting IKE_SA con1[22] between xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx]…xxx.xxx.xxx.xxx [192.168.1.47]

    на клиенте - ошибка 809

    опенвпн настроен и работает, но с ним гораздо больше неудобств.

    мне просто интересно. неужели никто не использовал l2tp/ipsec ??!!</con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22>



  • про январь не понял.

    Posted by: dronsky
    « on: January 14, 2016, 01:06:02 am »

    опенвпн настроен и работает, но с ним гораздо больше неудобств.

    Подробнее, пож-та.



  • не оставляю попыток, от версии к версии проверять работу L2tp/Ipsec

    может все таки кто-то, случайно победил L2tp/Ipsec на WAN порту???



  • PFSence 2.3.1
    Удалось запустить L2TP, но без IPSec шифрования на WAN.
    А при попытке подключиться с включеным IPSec  - отваливаеться с ошибкой 809.
    бьюсь уже 3 сутки, перепробовал все, что нашел мануалы по настройке - пока без результата.
    Шаманю дальше, но идет медленно т.к. все эксперементы проходят на живую.

    Если нужен описание как и что уже работает - обращайтесь.



  • Доброе.
    Скрины были бы кстати.

    P.s. Зачем вам л2тп ??



  • На сколько я знаю L2TP нативно поддерживается windows, android и рядом относительно современных роутеров.



  • OpenVPN идет из коробки у асусов.
    З.ы. Все же хотелось бы ответа от ТС, а не догадок.



  • IPSec использовал с техникой Apple, у них в стандартном пакете в MacOS все идет. Не знаю в чем проблема у ТС, там вроде все по шагам просто и на одной странице настраивается.



  • если честно, уже раздражает этот ответ - "Ставьте OpenVPN и забудьте про l2tp"

    вот ситуация - 100 юсеров подключались к Microsoft ISA сервер, который мы, слава тебе Господи, наконец то удалили.
    у всех юсеров все настроено для подключения по l2tp/ipsec.

    вот мы переходим на Pfsense.  все хорошо и замечательно,  ну вот незадача - не работает L2tp/ipsec снаружи.  и вы предлагаете ста юсерам перенастроить все, да и еще и сказать - теперь вы будете вводить имя пользователя и пароль…

    да и они сами пальцем не пошевелят, чтоб что-то там перенастроить. т.е.  придется ко всем подключатся и настраивать.

    и ладно бы в Pfsense не было L2tp сервера,  я бы сидел и помалкивал,  так он же там есть)  и даже есть мануал по его настройке,  и он почти работает,  просто проблема где-то в NAT, потому как на LAN интерфейс l2tp/ipsec клиент подключается... вот, что огорчает и заставляет писать сюда :)

    PS - не обращайте внимания - крик души )



  • @dronsky:

    если честно, уже раздражает этот ответ - "Ставьте OpenVPN и забудьте про l2tp"

    Это болезнь всех русскоязычных форумов :) Лучше на английском информацию искать…

    Проблему подтверждаю - бьюсь второй день, безрезультатно. Стоит последняя версия pfSense - 2.3.2_1.
    Пробовал разные клиенты: Windows 8.1 из-за NAT, Windows 8.1 через прямое соединение, Android через 3G/4G.
    Добавлял правила для WAN, менял PSK Identifier с allusers на any и обратно, колдовал с алгоритмами шифрования, менял подсети - результат один: не подключается, на клиенте Windows ошибка 809 (если установить некорректные алгоритмы, ошибка меняется на 789, но это легко поправимо).
    Ах да, внутренняя подсеть 192.168.200.0/24, шлюз для L2TP - 192.168.201.1, подсеть для L2TP - 192.168.201.128/25.
    Настраивал по документации с оф.сайта (https://doc.pfsense.org/index.php/L2TP/IPsec), опыт настройки различного сетевого оборудования немалый, в IPSec разбираюсь.
    Туннели на той же машине прекрасно работают, а L2TP - ни в какую.

    Вот кусок лога при подключении:

    Oct 20 23:40:52 pfSense charon: 14[IKE] 5.5.5.5 is initiating a Main Mode IKE_SA
    Oct 20 23:40:52 pfSense charon: 14[IKE] <8> 5.5.5.5 is initiating a Main Mode IKE_SA
    Oct 20 23:40:52 pfSense charon: 14[ENC] <8> generating ID_PROT response 0 [ SA V V V V ]
    Oct 20 23:40:52 pfSense charon: 14[NET] <8> sending packet: from 10.10.10.10[500] to 5.5.5.5[500] (156 bytes)
    Oct 20 23:40:52 pfSense charon: 08[NET] <8> received packet: from 5.5.5.5[500] to 10.10.10.10[500] (260 bytes)
    Oct 20 23:40:52 pfSense charon: 08[ENC] <8> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
    Oct 20 23:40:52 pfSense charon: 08[IKE] remote host is behind NAT
    Oct 20 23:40:52 pfSense charon: 08[IKE] <8> remote host is behind NAT
    Oct 20 23:40:52 pfSense charon: 08[ENC] <8> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
    Oct 20 23:40:52 pfSense charon: 08[NET] <8> sending packet: from 10.10.10.10[500] to 5.5.5.5[500] (244 bytes)
    Oct 20 23:40:52 pfSense charon: 08[NET] <8> received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (68 bytes)
    Oct 20 23:40:52 pfSense charon: 08[ENC] <8> parsed ID_PROT request 0 [ ID HASH ]
    Oct 20 23:40:52 pfSense charon: 08[CFG] <8> looking for pre-shared key peer configs matching 10.10.10.10…5.5.5.5[192.168.0.2]
    Oct 20 23:40:52 pfSense charon: 08[CFG] <8> selected peer config "con1"
    Oct 20 23:40:52 pfSense charon: 08[IKE] IKE_SA con1[8] established between 10.10.10.10[10.10.10.10]…5.5.5.5[192.168.0.2]
    Oct 20 23:40:52 pfSense charon: 08[IKE] <con1|8>IKE_SA con1[8] established between 10.10.10.10[10.10.10.10]…5.5.5.5[192.168.0.2]
    Oct 20 23:40:52 pfSense charon: 08[IKE] scheduling reauthentication in 27961s
    Oct 20 23:40:52 pfSense charon: 08[IKE] <con1|8>scheduling reauthentication in 27961s
    Oct 20 23:40:52 pfSense charon: 08[IKE] maximum IKE_SA lifetime 28501s
    Oct 20 23:40:52 pfSense charon: 08[IKE] <con1|8>maximum IKE_SA lifetime 28501s
    Oct 20 23:40:52 pfSense charon: 08[ENC] <con1|8>generating ID_PROT response 0 [ ID HASH ]
    Oct 20 23:40:52 pfSense charon: 08[NET] <con1|8>sending packet: from 10.10.10.10[4500] to 5.5.5.5[4500] (68 bytes)
    Oct 20 23:40:52 pfSense charon: 12[NET] <con1|8>received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (332 bytes)
    Oct 20 23:40:52 pfSense charon: 12[ENC] <con1|8>parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
    Oct 20 23:40:52 pfSense charon: 12[IKE] received 250000000 lifebytes, configured 0
    Oct 20 23:40:52 pfSense charon: 12[IKE] <con1|8>received 250000000 lifebytes, configured 0
    Oct 20 23:40:52 pfSense charon: 12[ENC] <con1|8>generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
    Oct 20 23:40:52 pfSense charon: 12[NET] <con1|8>sending packet: from 10.10.10.10[4500] to 5.5.5.5[4500] (204 bytes)
    Oct 20 23:40:52 pfSense charon: 12[NET] <con1|8>received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (60 bytes)
    Oct 20 23:40:52 pfSense charon: 12[ENC] <con1|8>parsed QUICK_MODE request 1 [ HASH ]
    Oct 20 23:40:52 pfSense charon: 12[IKE] CHILD_SA con1{26} established with SPIs c1933abc_i 0e115774_o and TS 10.10.10.10/32|/0[udp/l2f] === 5.5.5.5/32|/0[udp/l2f]
    Oct 20 23:40:52 pfSense charon: 12[IKE] <con1|8>CHILD_SA con1{26} established with SPIs c1933abc_i 0e115774_o and TS 10.10.10.10/32|/0[udp/l2f] === 5.5.5.5/32|/0[udp/l2f]
    Oct 20 23:41:27 pfSense charon: 05[NET] <con1|8>received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (76 bytes)
    Oct 20 23:41:27 pfSense charon: 05[ENC] <con1|8>parsed INFORMATIONAL_V1 request 380039615 [ HASH D ]
    Oct 20 23:41:27 pfSense charon: 05[IKE] received DELETE for ESP CHILD_SA with SPI 0e115774
    Oct 20 23:41:27 pfSense charon: 05[IKE] <con1|8>received DELETE for ESP CHILD_SA with SPI 0e115774
    Oct 20 23:41:27 pfSense charon: 05[IKE] closing CHILD_SA con1{26} with SPIs c1933abc_i (750 bytes) 0e115774_o (0 bytes) and TS 10.10.10.10/32|/0[udp/l2f] === 5.5.5.5/32|/0[udp/l2f]
    Oct 20 23:41:27 pfSense charon: 05[IKE] <con1|8>closing CHILD_SA con1{26} with SPIs c1933abc_i (750 bytes) 0e115774_o (0 bytes) and TS 10.10.10.10/32|/0[udp/l2f] === 5.5.5.5/32|/0[udp/l2f]
    Oct 20 23:41:27 pfSense charon: 13[NET] <con1|8>received packet: from 5.5.5.5[4500] to 10.10.10.10[4500] (84 bytes)
    Oct 20 23:41:27 pfSense charon: 13[ENC] <con1|8>parsed INFORMATIONAL_V1 request 2453243046 [ HASH D ]
    Oct 20 23:41:27 pfSense charon: 13[IKE] received DELETE for IKE_SA con1[8]
    Oct 20 23:41:27 pfSense charon: 13[IKE] <con1|8>received DELETE for IKE_SA con1[8]
    Oct 20 23:41:27 pfSense charon: 13[IKE] deleting IKE_SA con1[8] between 10.10.10.10[10.10.10.10]…5.5.5.5[192.168.0.2]
    Oct 20 23:41:27 pfSense charon: 13[IKE] <con1|8>deleting IKE_SA con1[8] between 10.10.10.10[10.10.10.10]…5.5.5.5[192.168.0.2]</con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8></con1|8>

    Здесь 5.5.5.5 - клиент, 10.10.10.10 - адрес на WAN-интерфейсе. Подключение прямое - белый IP выдает провайдер.
    В логах L2TP - тишина. Служба сообщает об успешном запуске и ожидании подключений. Но ни одного подключения нет…
    Правила All-To-All в секциях IPSec и L2TP добавлял, порт 1701 UDP открыт (проверял с помощью nmap).

    Судя по логам, канал IPSec успешно создается, но до mpd ничего не доходит (в веб-интерфейсе для правила L2TP значится 0/0).

    По мне, так это какой-то баг...



  • Все, вопрос снимается. Они на странице настройки L2TP/IPsec в вики написали: Users have reported issues with Windows L2TP/IPsec clients behind NAT. If the clients will be behind NAT, Windows clients will most likely not function. Consider an IKEv2 implementation instead.

    По отзывам англоязычной аудитории, работает подключение только с iOS или напрямую (без NAT). К сожалению, проверить не на чем :(
    Так что настраиваем IKEv2: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2



  • @ivanivanich:

    Так что настраиваем IKEv2:

    Настроил по этой инструкции, виртуальную сеть указал 192.168.32.0/24, в НАТ аут стоит авто и эта виртуальная сеть имеется в списке. На клиенте маршруты сети удалённого офиса (192.168.1.0/24) не прописались. Вопрос: как объявить маршруты для удалённых клиентов?



  • @Ilyuha:

    @ivanivanich:

    Так что настраиваем IKEv2:

    Настроил по этой инструкции, виртуальную сеть указал 192.168.32.0/24, в НАТ аут стоит авто и эта виртуальная сеть имеется в списке. На клиенте маршруты сети удалённого офиса (192.168.1.0/24) не прописались. Вопрос: как объявить маршруты для удалённых клиентов?

    Или используете это соединение как маршрут по умолчанию, или дописываете вручную



  • PbIXTOP, Можно конечно и так, но это ведь не цивилизованно, в OpenVPN например указываешь local network и remote network и всё, маршрутизируется на "Ура".
    Может есть ещё у кого мысли, как средствами сервера решить доставку верного маршрута?



  • ни в L2TP, ни в IPsec такая возможность не предусмотрена.
    Вы можете попробовать воспользоваться протоколами OSPF или RIP для назначения маршрутов на конечные устройства.



  • У меня к стати вообще почему-то не указан удалённый шлюз, видимо накосячил в настройке. Где мог напортачить?

    PS Параметр "Provide a list of accessible networks to clients" разве не должен предоставлять клиенту маршрут?

    ![QIP Shot - Screen 2017.03.27 16-51-16.png](/public/imported_attachments/1/QIP Shot - Screen 2017.03.27 16-51-16.png)
    ![QIP Shot - Screen 2017.03.27 16-51-16.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 2017.03.27 16-51-16.png_thumb)





  • Настроил на другом роутере, тоже не выдаёт шлюз по умолчанию. Кому помешал PPP сервер в pfsense, не всем нужна лютая безопасность?! Остаётся один вариант, переходить на OpenVPN?

    ![QIP Shot - Screen 2017.03.28 10-16-44.png](/public/imported_attachments/1/QIP Shot - Screen 2017.03.28 10-16-44.png)
    ![QIP Shot - Screen 2017.03.28 10-16-44.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 2017.03.28 10-16-44.png_thumb)



  • Остаётся один вариант, переходить на OpenVPN?

    Как рабочий вариант - да.
    Немного лирики. Случай из недавнего прошлого.
    Очередной Ipsec site-to-site туннель (остальные прекрасно работают с тем же ПО (не pfSense в центре  и аналогичным оборудованием в филиалах) поднимается и работает. Но ходят по нему только пинги (нужные порты открыты, проверено телнетом и пр.)
    Попытки решать вопрос с провайдером, попытки менять MTU\MSS\MRU вопрос не решили. Как временное решение перешли на OpenVPN, но, чувствую, решение останется постоянным.



  • @pigbrother:

    site-to-site туннель

    Site2site используем давно средствами OVPN, вполне устраивает. Site2client удобно было всегда с помощью стокового клиента Windows, без доп ПО.



  • Согласен, clientless VPN удобно. Однако встречал и тут и не тут, что есть трудности с подключением клиента Windows из-за NAT, а клиент почти всегда за NAT.



  • 2 Ilyuha
    А тип туннеля - tun ? Точно не tap ?