Помогите разобраться с L2TP over IPSec

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
Arthes
Сообщения: 282
ОС: OS X Yosemite and CentOS

Помогите разобраться с L2TP over IPSec

Сообщение Arthes »

Здравствуйте господа! Честно скажу, что непосредственно вопрос связан не только с Linux, в проблеме описанной ниже участвуют Mac OS X, iOS, CISCO IOS, ну и просто клиенты в Linux.
Недавно дернуло меня обновить iphone с 9.0.x на 10.x и оказалось, что Apple убрала поддержку VPN типа PPTP, так как мол небезопасно передавать clear логин и пасс во время установления канала. Разумеется потерев настройки моих подключений к ЛВС.
Решение право неодназначное, хорошо я на Air не обновил OS X до Sierra, иначе бы пришлось раздавать VPN трафик через Linux запущенный в VMWare Fusion, но понятное дело с iphone такие трюки не пройдут.


Имеем сеть ЛВС иерархическая Inter-VLAN over SVI Cisco L3 switch Level Distribution ( имеются ACL для фильтрации лок сетей)<<<------>>> Cisco ASR Level kernel ( ACL для NAT и фитр. трафика)<<<---->>>ISP

Внутри ЛВС работает VPN сервер на базе Linux Vyatta, на нем подняты демоны VPN PPTP и VPN L2TP/IPSec.
При подключении из ЛВС как по проводному, так и Wireless сегменту сети, соединение на iOS и Win/Lunux клиентах проходит успешно. Устанавливается L2TP канал с аутентификацией MSCHAPv2 и шифрованием ESP 3DES. Да небольшая ремарка, мы не используем сертификаты для IPSec поэтому подключение по Pre-Shared key. Если в Windows клиенте VPN выставить использование сертификатов и неиспользовать его, а аутентифицироваться только по паролю, то устанавливается незащищенный канал.
Ну то есть Win клиенте есть опция поднимать канал даже без шифрования.

При подключении с сетей TELE2 и проводной Ростелеком поднять шифрованный канал не удается, только нешифрованный. Беда в том, что клиенты на Mac OS X и iOS не имеют настройки устанавливать L2TP без шифрования.

Я проверил ACL на интерфейсах граничного Cisco ASR как инт. в ЛВС так и к провайдеру, имеем ip any any, отдельными правилами ничего к VPN не блокируется...
Почитав интернет выяснилось что протоколы ESP и AH, а так же GRE не во всех версиях Cisco IOS входят в спецификацию ip для ACL, поэтому я добавил разрешение трафика GRE, ESP, AH на VPN сервер из ISP и от VPN сервера к ISP, на всякий случай...
Что подозрительно, при всех моих попытках подключиться из внешних сетей ACL фильтрующий трафик не детектирует ESP и AH пакеты, а они так как раз используяться при поднятии шифрованного канала IPSec. Детектируется только GRE, но его используют сотни других клиентов PPTP.

На Cisco L3 swith на котором ACL фильтрует трафик между SVI интерфейсами запрещающих правил для VPN сервера нет.

Да логи на Radius сервере не детектируют вообще никак мои попытки входа из внешних сетей с настройками клиента с принудительным шифрованием.

P.S.Может я что-то не учел??? Или возможно ISP мои блокируют ESP/AH?
Классический вопрос что делать? :rolleyes:

Спасибо сказали:
Ответить