Happo
-
Posts
7 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Happo
-
-
В 12.08.2021 в 15:32, werldmgn сказал:
Да, вот так. Только имейте в виду, что клиент должен поддерживать выбранные вами алгоритмы.
Спасибо за подсказку - в выходные экспериментировал активно ставил. Высокие уровни шифрования просто не поддерживаются виндой.. Более того, при согласовании протокола винда SHA256 вообще не предлагает..
Для эксперимента сбросил н настройки и подключился по дефолту - метод шифрования 3des был выбран на автомате(((
В итоге самый простой метод нашел - просто удалил из профилей L2TPServer 3DES, DES, MD5, и виндовс сумел согласовать протокол AES128+SHA1+ECP384.. Но тут опять же можно удалить вообще все протоколы из профилей L2TP и заново протоколы которые там были (без 3DESов) ввести, но в другом порядке - сначала более стойкое шифрование, следующей строкой более слабое.
В 12.08.2021 в 16:23, werldmgn сказал:Для случаев, когда кинетик выступает клиентом, полагаю. Создав исходящее l2tp/ipsec подключение с кинетика, например, можно ему задать уровень шифрования interface l2tp0 ipsec encryption-level strong
Этот метод сработал, при том в режиме сервера протоколы изменились(но в Фазе2), спасибо большое. Правда и минусы нашел:
1. У меня настроен еще и L2tpIPsec клиент до VPS в Нидердандах. А протоколы уровня strong прописались как в клиенте, так и в сервере (Фаза2). Так что клиент престал подключаться к VPSу))) Решение чуть выше написал - именно редактирование профиля L2TPServer.
2. Еще нюанс именно в сервере - Фаза 1 остается с слабыми протоколами по умолчанию..
В 14.08.2021 в 20:47, Le ecureuil сказал:Ну так "максимальная производительность" - он про скорость на 2 фазе, где на самом деле происходит передача данных. При чем тут IKE?
IKE тут при том (если я правильно понимаю), что при Фазе 1 происходит обмен ключами для фазы 2, на которой ключами с Фазы 1 и шифруется трафик. Соответственно, условный кулхацкер или тов.майор берет копию netflow, дешифрует фазу 1 (если она нестойким алгоритмом зашифрована) и получает ключи для дешифровки Фазы 2.... Profit!
Конечно, можно сказать что я заморачиваюсь, но тут вопрос в смысле шифрования IPSec'ом - смысл теряется от сложного в настройке от IPSecа, если можно тот же PPTP VPN включить, все равно его вскроет любой профессионал)))
PS: Настроил на внешнем сервере WireGuard + на роутере клиент WG настроил - все отлично работает)) Ранее не понимал - что так все его хвалят... Оказалось он прост в настройке, нет требует больших знаний в безопасности протоколов (используемых в IPSEC) и шустро работает. Протестировал - 100мбит/с скачивание торрентов грузит CPU кинетика (Giga) на 50%.
-
Обнаружил тут, что в бета-версии 3.07 профили работают очень странно.
Например, выбрав в настройках L2TP_IPSEC сервера РЕЖИМ оптимизации "Максимальная производительность" - изменяются протоколы только в Фазе 2, а в Фазе 1 - все тот же древний 3DES)😞
Как то странно реализован профиль "повышенной надежности", не находите?
show running-config:
ФАЗА 1:
crypto ike proposal VPNL2TPServer
encryption 3des
encryption des
encryption aes-cbc-128
encryption aes-cbc-256
dh-group 2
dh-group 1
dh-group 20
dh-group 19
dh-group 14
integrity sha1
integrity sha256
integrity md5
!ФАЗА 2:
crypto ipsec transform-set VPNL2TPServer
aead
lifetime 28800
cypher esp-chacha20-poly1305
-
Цитата
Да, вот так. Только имейте в виду, что клиент должен поддерживать выбранные вами алгоритмы.
Спасибо большое! огромное поле для эекспериментов появилось)))
Только не до конца понятно - зачем тогда в конце мануала по CLI приведены "Уровни шифрования IPsec" от "D.1 weak" до "D.10 strong-aead-pfs", с прописанными соответствующими шаблонами (Proposal)..
-
Спасибо за советы. Разбираюсь в мануале.
Возможно можно упростить задачу - подскажите, пожалуйста, как через CLI активировать профиль "D.9 strong-aead", чтобы именно он использовался в L2TP+IPSEC сервере?
Или тут смысл, что нужно войти в proposal "VPNL2TPIPsecServer"(чтобы настройка именно к L2tp vpn серверу применилась) и внутри него поудалять: просто-напросто DES, 3DES(через no encryption ХХХ) и MD5(через no integrityt)?
-
Цитата
В версии 3.07 есть профили, если что.
Спасибо за совет. Установил прошивку. Верно ли я понял , что профили - это "Режим по умолчанию", "Для устаревших VPN-клиентов", "Максимальная производительность"?
Еще такие вопросы возникли:
1. Профиль "По умолчанию" в настройках (L2TP/IPSEC) - какие подразумевает протоколы? (вероятно все протоколы будут доступны?)
2. Режим "Максимальная производительность" (CHACHA20-POLY1305) - получается что аппаратного ускорения уже не будет при использовании данного профиля? (и, по скорости будет аналог WireGuard).
3. И как все-таки настроить использование AES-256 + SHA-512 и т.д.
-
При настройке VPN PPTP я увидел, что MPPE128 по умолчанию в веб-интерфейсе не включено, то есть шифрование намеренно ослаблено до 40 бит (включил в итоге 128-битное шифрование через командную строку).
Далее попробовал настроить VPN- серверы L2TP, L2TP+IPSEC, OpenVPN - нигде не предлагает выбрать протоколы шифрования(вообще настроек почти нет, и человек не видит что за шифрование будет использоваться). Подскажите, пожалуйста, шифрование в указанных VPN-серверах по умолчанию так же ослабленное?
Ну и вопрос по теме: подскажите, пожалуйста, как через CLI в L2TP VPN-сервере настроить надежное шифрование (AES-256). А то в профиле, который вы опубликовали:
crypto ike proposal VPNL2TPIPsecServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256
- вначале 3 DES стоит - переживаю, как бы на этом древнем протоколе по дефолту VPN не создавался... Да и DES выглядит - ну совсем не уместным((
L2TP/IPsec сервер
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Посоветуйте, пожалуйста приложение ВПН-клиент для Windows 10 которое умеет L2TP IPsec подключение устанавливать с большим количеством протоколов - интересно скорость протестировать на продвинутом шифровании.