Jump to content

Happo

Forum Members
  • Posts

    7
  • Joined

  • Last visited

Everything posted by Happo

  1. Посоветуйте, пожалуйста приложение ВПН-клиент для Windows 10 которое умеет L2TP IPsec подключение устанавливать с большим количеством протоколов - интересно скорость протестировать на продвинутом шифровании.
  2. Спасибо за подсказку - в выходные экспериментировал активно ставил. Высокие уровни шифрования просто не поддерживаются виндой.. Более того, при согласовании протокола винда SHA256 вообще не предлагает.. Для эксперимента сбросил н настройки и подключился по дефолту - метод шифрования 3des был выбран на автомате((( В итоге самый простой метод нашел - просто удалил из профилей L2TPServer 3DES, DES, MD5, и виндовс сумел согласовать протокол AES128+SHA1+ECP384.. Но тут опять же можно удалить вообще все протоколы из профилей L2TP и заново протоколы которые там были (без 3DESов) ввести, но в другом порядке - сначала более стойкое шифрование, следующей строкой более слабое. Этот метод сработал, при том в режиме сервера протоколы изменились(но в Фазе2), спасибо большое. Правда и минусы нашел: 1. У меня настроен еще и L2tpIPsec клиент до VPS в Нидердандах. А протоколы уровня strong прописались как в клиенте, так и в сервере (Фаза2). Так что клиент престал подключаться к VPSу))) Решение чуть выше написал - именно редактирование профиля L2TPServer. 2. Еще нюанс именно в сервере - Фаза 1 остается с слабыми протоколами по умолчанию.. IKE тут при том (если я правильно понимаю), что при Фазе 1 происходит обмен ключами для фазы 2, на которой ключами с Фазы 1 и шифруется трафик. Соответственно, условный кулхацкер или тов.майор берет копию netflow, дешифрует фазу 1 (если она нестойким алгоритмом зашифрована) и получает ключи для дешифровки Фазы 2.... Profit! Конечно, можно сказать что я заморачиваюсь, но тут вопрос в смысле шифрования IPSec'ом - смысл теряется от сложного в настройке от IPSecа, если можно тот же PPTP VPN включить, все равно его вскроет любой профессионал))) PS: Настроил на внешнем сервере WireGuard + на роутере клиент WG настроил - все отлично работает)) Ранее не понимал - что так все его хвалят... Оказалось он прост в настройке, нет требует больших знаний в безопасности протоколов (используемых в IPSEC) и шустро работает. Протестировал - 100мбит/с скачивание торрентов грузит CPU кинетика (Giga) на 50%.
  3. Обнаружил тут, что в бета-версии 3.07 профили работают очень странно. Например, выбрав в настройках L2TP_IPSEC сервера РЕЖИМ оптимизации "Максимальная производительность" - изменяются протоколы только в Фазе 2, а в Фазе 1 - все тот же древний 3DES)😞 Как то странно реализован профиль "повышенной надежности", не находите? show running-config: ФАЗА 1: crypto ike proposal VPNL2TPServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256 dh-group 2 dh-group 1 dh-group 20 dh-group 19 dh-group 14 integrity sha1 integrity sha256 integrity md5 ! ФАЗА 2: crypto ipsec transform-set VPNL2TPServer aead lifetime 28800 cypher esp-chacha20-poly1305
  4. Спасибо большое! огромное поле для эекспериментов появилось))) Только не до конца понятно - зачем тогда в конце мануала по CLI приведены "Уровни шифрования IPsec" от "D.1 weak" до "D.10 strong-aead-pfs", с прописанными соответствующими шаблонами (Proposal)..
  5. Спасибо за советы. Разбираюсь в мануале. Возможно можно упростить задачу - подскажите, пожалуйста, как через CLI активировать профиль "D.9 strong-aead", чтобы именно он использовался в L2TP+IPSEC сервере? Или тут смысл, что нужно войти в proposal "VPNL2TPIPsecServer"(чтобы настройка именно к L2tp vpn серверу применилась) и внутри него поудалять: просто-напросто DES, 3DES(через no encryption ХХХ) и MD5(через no integrityt)?
  6. Спасибо за совет. Установил прошивку. Верно ли я понял , что профили - это "Режим по умолчанию", "Для устаревших VPN-клиентов", "Максимальная производительность"? Еще такие вопросы возникли: 1. Профиль "По умолчанию" в настройках (L2TP/IPSEC) - какие подразумевает протоколы? (вероятно все протоколы будут доступны?) 2. Режим "Максимальная производительность" (CHACHA20-POLY1305) - получается что аппаратного ускорения уже не будет при использовании данного профиля? (и, по скорости будет аналог WireGuard). 3. И как все-таки настроить использование AES-256 + SHA-512 и т.д.
  7. При настройке VPN PPTP я увидел, что MPPE128 по умолчанию в веб-интерфейсе не включено, то есть шифрование намеренно ослаблено до 40 бит (включил в итоге 128-битное шифрование через командную строку). Далее попробовал настроить VPN- серверы L2TP, L2TP+IPSEC, OpenVPN - нигде не предлагает выбрать протоколы шифрования(вообще настроек почти нет, и человек не видит что за шифрование будет использоваться). Подскажите, пожалуйста, шифрование в указанных VPN-серверах по умолчанию так же ослабленное? Ну и вопрос по теме: подскажите, пожалуйста, как через CLI в L2TP VPN-сервере настроить надежное шифрование (AES-256). А то в профиле, который вы опубликовали: crypto ike proposal VPNL2TPIPsecServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256 - вначале 3 DES стоит - переживаю, как бы на этом древнем протоколе по дефолту VPN не создавался... Да и DES выглядит - ну совсем не уместным((
×
×
  • Create New...