[L2TP/IPsec сервер]

Посоветуйте, пожалуйста приложение ВПН-клиент для Windows 10 которое умеет L2TP IPsec подключение устанавливать с большим количеством протоколов - интересно скорость протестировать на продвинутом шифровании.

[L2TP/IPsec сервер]

В 12.08.2021 в 15:32, werldmgn сказал:

Да, вот так. Только имейте в виду, что клиент  должен поддерживать выбранные вами алгоритмы.

Спасибо за подсказку - в выходные экспериментировал активно ставил. Высокие уровни шифрования просто не поддерживаются виндой.. Более того, при согласовании протокола винда SHA256 вообще не предлагает..

Для эксперимента сбросил н настройки и подключился по дефолту - метод шифрования 3des был выбран на автомате(((

В итоге самый простой метод нашел - просто удалил из профилей L2TPServer  3DES, DES, MD5, и виндовс сумел согласовать протокол AES128+SHA1+ECP384.. Но тут опять же можно удалить вообще все протоколы из профилей L2TP и заново протоколы которые там были (без 3DESов) ввести, но в другом порядке - сначала более стойкое шифрование, следующей строкой более слабое.

В 12.08.2021 в 16:23, werldmgn сказал:

Для случаев, когда кинетик выступает клиентом, полагаю. Создав исходящее l2tp/ipsec подключение с кинетика, например, можно ему задать уровень шифрования   interface l2tp0 ipsec encryption-level strong

Этот метод сработал, при том в режиме сервера протоколы изменились(но в Фазе2), спасибо большое. Правда и минусы нашел:

1. У меня настроен еще и L2tpIPsec клиент до VPS в Нидердандах. А протоколы уровня strong прописались как в клиенте, так и в сервере (Фаза2).  Так что клиент престал подключаться к VPSу))) Решение чуть выше написал - именно редактирование профиля L2TPServer.

2. Еще нюанс именно в сервере - Фаза 1 остается с слабыми протоколами по умолчанию..

В 14.08.2021 в 20:47, Le ecureuil сказал:

Ну так "максимальная производительность" - он про скорость на 2 фазе, где на самом деле происходит передача данных. При чем тут IKE?

IKE тут при том (если я правильно понимаю), что при Фазе 1 происходит обмен ключами для фазы 2, на которой ключами с Фазы 1 и шифруется трафик. Соответственно, условный кулхацкер или тов.майор берет копию netflow, дешифрует фазу 1 (если она нестойким алгоритмом зашифрована) и получает ключи для дешифровки Фазы 2.... Profit!

Конечно, можно сказать что я заморачиваюсь, но тут вопрос в смысле шифрования IPSec'ом - смысл теряется от сложного в настройке от IPSecа, если можно тот же PPTP VPN включить, все равно его вскроет любой профессионал)))

PS: Настроил на внешнем сервере WireGuard + на роутере клиент WG настроил - все отлично работает)) Ранее не понимал - что так все его хвалят... Оказалось он прост в настройке, нет требует больших знаний в безопасности протоколов (используемых в IPSEC) и шустро работает. Протестировал - 100мбит/с скачивание торрентов грузит CPU кинетика (Giga) на 50%.

[L2TP/IPsec сервер]

Обнаружил тут, что в бета-версии 3.07 профили работают очень странно.

Например, выбрав в настройках L2TP_IPSEC сервера РЕЖИМ оптимизации "Максимальная производительность" - изменяются протоколы только в Фазе 2, а в Фазе 1 - все тот же древний 3DES)😞

Как то странно реализован профиль "повышенной надежности", не находите?

show running-config:

ФАЗА 1:

crypto ike proposal VPNL2TPServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256
    dh-group 2
    dh-group 1
    dh-group 20
    dh-group 19
    dh-group 14
    integrity sha1
    integrity sha256
    integrity md5
!

ФАЗА 2:

crypto ipsec transform-set VPNL2TPServer
    aead
    lifetime 28800
    cypher esp-chacha20-poly1305
 

 

[L2TP/IPsec сервер]

Цитата

Да, вот так. Только имейте в виду, что клиент  должен поддерживать выбранные вами алгоритмы.

Спасибо большое! огромное поле для эекспериментов появилось)))

Только не до конца понятно - зачем тогда в конце мануала по CLI приведены "Уровни шифрования IPsec" от "D.1 weak" до "D.10 strong-aead-pfs", с прописанными соответствующими шаблонами (Proposal)..

[L2TP/IPsec сервер]

Спасибо за советы. Разбираюсь в мануале.

Возможно можно упростить задачу - подскажите, пожалуйста, как через CLI активировать профиль "D.9 strong-aead", чтобы именно он использовался в  L2TP+IPSEC сервере?

 

Или тут смысл, что нужно войти в proposal "VPNL2TPIPsecServer"(чтобы настройка именно к L2tp vpn серверу применилась) и внутри  него поудалять: просто-напросто DES, 3DES(через no encryption ХХХ) и MD5(через no integrityt)?

[L2TP/IPsec сервер]

Цитата

В версии 3.07 есть профили, если что.

Спасибо за совет. Установил прошивку. Верно ли я понял , что профили - это "Режим по умолчанию", "Для устаревших VPN-клиентов", "Максимальная производительность"?

Еще такие вопросы возникли:

1. Профиль "По умолчанию" в настройках (L2TP/IPSEC) - какие подразумевает протоколы? (вероятно все протоколы будут доступны?)

2. Режим "Максимальная производительность" (CHACHA20-POLY1305) - получается что аппаратного ускорения уже не будет при использовании данного профиля? (и, по скорости будет аналог WireGuard).

3. И как все-таки настроить использование AES-256 + SHA-512 и т.д.

[L2TP/IPsec сервер]

При настройке VPN PPTP я увидел, что MPPE128 по умолчанию в веб-интерфейсе не включено, то есть шифрование намеренно ослаблено до 40 бит (включил в итоге 128-битное шифрование через командную строку).

Далее попробовал настроить VPN- серверы L2TP, L2TP+IPSEC, OpenVPN - нигде не предлагает выбрать протоколы шифрования(вообще настроек почти нет, и человек не видит что за шифрование будет использоваться). Подскажите, пожалуйста, шифрование в указанных VPN-серверах по умолчанию так же ослабленное? 

Ну и вопрос по теме: подскажите, пожалуйста, как через CLI в L2TP VPN-сервере настроить надежное шифрование (AES-256). А то в профиле, который вы опубликовали:

crypto ike proposal VPNL2TPIPsecServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256

- вначале 3 DES стоит - переживаю, как бы на этом древнем протоколе по дефолту VPN не создавался... Да и DES выглядит - ну совсем не уместным((