L2TP/IPsec сервер

[Vladicka]

Всем привет.

Подскажите, пожалуйста, насколько требователен L2TP/IPsec сервер в плане потребления оперативной памяти? Выбираю сейчас между Viva (KN-1910) и Giga (KN-1010), есть смысл брать Гигу ради 256 Мб памяти для L2TP/IPSec?

[r13]

11 минуту назад, Vladicka сказал:

Всем привет.

Подскажите, пожалуйста, насколько требователен L2TP/IPsec сервер в плане потребления оперативной памяти? Выбираю сейчас между Viva (KN-1910) и Giga (KN-1010), есть смысл брать Гигу ради 256 Мб памяти для L2TP/IPSec?

Не требователен, 256 для vpn не актуально

[Дмитрий]

Добрый день!

Видел где-то обещали через l2tp/ipsec включить раздачу ipv6 адресов клиентам. Но по факту нет.

Есть движение в этом направлении?

[Le ecureuil]

48 минут назад, Дмитрий сказал:

Добрый день!

Видел где-то обещали через l2tp/ipsec включить раздачу ipv6 адресов клиентам. Но по факту нет.

Есть движение в этом направлении?

Давно есть. Надо включить в CLI и иметь IPv6-префикс на WAN.

[Happo]

При настройке VPN PPTP я увидел, что MPPE128 по умолчанию в веб-интерфейсе не включено, то есть шифрование намеренно ослаблено до 40 бит (включил в итоге 128-битное шифрование через командную строку).

Далее попробовал настроить VPN- серверы L2TP, L2TP+IPSEC, OpenVPN - нигде не предлагает выбрать протоколы шифрования(вообще настроек почти нет, и человек не видит что за шифрование будет использоваться). Подскажите, пожалуйста, шифрование в указанных VPN-серверах по умолчанию так же ослабленное? 

Ну и вопрос по теме: подскажите, пожалуйста, как через CLI в L2TP VPN-сервере настроить надежное шифрование (AES-256). А то в профиле, который вы опубликовали:

crypto ike proposal VPNL2TPIPsecServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256

- вначале 3 DES стоит - переживаю, как бы на этом древнем протоколе по дефолту VPN не создавался... Да и DES выглядит - ну совсем не уместным((

 

[Le ecureuil]

1 час назад, Happo сказал:

При настройке VPN PPTP я увидел, что MPPE128 по умолчанию в веб-интерфейсе не включено, то есть шифрование намеренно ослаблено до 40 бит (включил в итоге 128-битное шифрование через командную строку).

Далее попробовал настроить VPN- серверы L2TP, L2TP+IPSEC, OpenVPN - нигде не предлагает выбрать протоколы шифрования(вообще настроек почти нет, и человек не видит что за шифрование будет использоваться). Подскажите, пожалуйста, шифрование в указанных VPN-серверах по умолчанию так же ослабленное? 

Ну и вопрос по теме: подскажите, пожалуйста, как через CLI в L2TP VPN-сервере настроить надежное шифрование (AES-256). А то в профиле, который вы опубликовали:

crypto ike proposal VPNL2TPIPsecServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256

- вначале 3 DES стоит - переживаю, как бы на этом древнем протоколе по дефолту VPN не создавался... Да и DES выглядит - ну совсем не уместным((

 

В версии 3.07 есть профили, если что.

[Happo]

Цитата

В версии 3.07 есть профили, если что.

Спасибо за совет. Установил прошивку. Верно ли я понял , что профили - это "Режим по умолчанию", "Для устаревших VPN-клиентов", "Максимальная производительность"?

Еще такие вопросы возникли:

1. Профиль "По умолчанию" в настройках (L2TP/IPSEC) - какие подразумевает протоколы? (вероятно все протоколы будут доступны?)

2. Режим "Максимальная производительность" (CHACHA20-POLY1305) - получается что аппаратного ускорения уже не будет при использовании данного профиля? (и, по скорости будет аналог WireGuard).

3. И как все-таки настроить использование AES-256 + SHA-512 и т.д.

Edited August 12, 2021 by Happo

[Werld]

20 часов назад, Happo сказал:

переживаю, как бы на этом древнем протоколе по дефолту VPN не создавался... Да и DES выглядит - ну совсем не уместным((

Смотрите в cli manual. Группа команд crypto ike proposal для настройки параметров первой фазы; группа команд crypto ipsec transform-set - для настройки фазы 2.
 

[Le ecureuil]

3 часа назад, Happo сказал:

Спасибо за совет. Установил прошивку. Верно ли я понял , что профили - это "Режим по умолчанию", "Для устаревших VPN-клиентов", "Максимальная производительность"?

Еще такие вопросы возникли:

1. Профиль "По умолчанию" в настройках (L2TP/IPSEC) - какие подразумевает протоколы? (вероятно все протоколы будут доступны?)

2. Режим "Максимальная производительность" (CHACHA20-POLY1305) - получается что аппаратного ускорения уже не будет при использовании данного профиля? (и, по скорости будет аналог WireGuard).

3. И как все-таки настроить использование AES-256 + SHA-512 и т.д.

Если вы поменяете настройки в cli, то они сохранятся. При этом стоит выбрать "режим по-умолчанию", чтобы не перезаписалось ваше при обновлении других параметров.

[Happo]

Спасибо за советы. Разбираюсь в мануале.

Возможно можно упростить задачу - подскажите, пожалуйста, как через CLI активировать профиль "D.9 strong-aead", чтобы именно он использовался в  L2TP+IPSEC сервере?

 

Или тут смысл, что нужно войти в proposal "VPNL2TPIPsecServer"(чтобы настройка именно к L2tp vpn серверу применилась) и внутри  него поудалять: просто-напросто DES, 3DES(через no encryption ХХХ) и MD5(через no integrityt)?

Edited August 12, 2021 by Happo

[Werld]

4 минуты назад, Happo сказал:

Или тут смысл, что нужно войти в proposal "VPNL2TPIPsecServer"(чтобы настройка именно к L2tp vpn серверу применилась) и внутри  него поудалять: просто-напросто DES, 3DES(через crypto ike proposal) и MD5(через crypto ipsec transform-set)?

Да, вот так. Только имейте в виду, что клиент  должен поддерживать выбранные вами алгоритмы.

[Happo]

Цитата

Да, вот так. Только имейте в виду, что клиент  должен поддерживать выбранные вами алгоритмы.

Спасибо большое! огромное поле для эекспериментов появилось)))

Только не до конца понятно - зачем тогда в конце мануала по CLI приведены "Уровни шифрования IPsec" от "D.1 weak" до "D.10 strong-aead-pfs", с прописанными соответствующими шаблонами (Proposal)..

[Werld]

4 минуты назад, Happo сказал:

Только не до конца понятно - зачем тогда в конце мануала по CLI приведены "Уровни шифрования IPsec" от "D.1 weak" до "D.10 strong-aead-pfs", с прописанными соответствующими шаблонами (Proposal)

Для случаев, когда кинетик выступает клиентом, полагаю. Создав исходящее l2tp/ipsec подключение с кинетика, например, можно ему задать уровень шифрования   interface l2tp0 ipsec encryption-level strong

[Happo]

Обнаружил тут, что в бета-версии 3.07 профили работают очень странно.

Например, выбрав в настройках L2TP_IPSEC сервера РЕЖИМ оптимизации "Максимальная производительность" - изменяются протоколы только в Фазе 2, а в Фазе 1 - все тот же древний 3DES)😞

Как то странно реализован профиль "повышенной надежности", не находите?

show running-config:

ФАЗА 1:

crypto ike proposal VPNL2TPServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256
    dh-group 2
    dh-group 1
    dh-group 20
    dh-group 19
    dh-group 14
    integrity sha1
    integrity sha256
    integrity md5
!

ФАЗА 2:

crypto ipsec transform-set VPNL2TPServer
    aead
    lifetime 28800
    cypher esp-chacha20-poly1305
 

 

[Le ecureuil]

Ну так "максимальная производительность" - он про скорость на 2 фазе, где на самом деле происходит передача данных. При чем тут IKE?

[Дмитрий]

Повторю вопрос:

Кинетик гига подключен по проводу к терминалу hg8245, последний bridge. На гиге поднят l2tp/ipsec сервер. Когда подключен клиент по туннелю наблюдаются спонтанные обрывы сессий провайдера. иногда доходит до 5 минут. Во время отладки обрыв пойман в 23:22:25. Прошу посмотреть селф тест и указать причину сброса wan если она доступна со стороны кинетика. Обрывы происходят при нагрузке на туннель, при подключенном и бездействующем клиенте обрывов нет.

Edited August 14, 2021 by Дмитрий

[Happo]

В 12.08.2021 в 15:32, werldmgn сказал:

Да, вот так. Только имейте в виду, что клиент  должен поддерживать выбранные вами алгоритмы.

Спасибо за подсказку - в выходные экспериментировал активно ставил. Высокие уровни шифрования просто не поддерживаются виндой.. Более того, при согласовании протокола винда SHA256 вообще не предлагает..

Для эксперимента сбросил н настройки и подключился по дефолту - метод шифрования 3des был выбран на автомате(((

В итоге самый простой метод нашел - просто удалил из профилей L2TPServer  3DES, DES, MD5, и виндовс сумел согласовать протокол AES128+SHA1+ECP384.. Но тут опять же можно удалить вообще все протоколы из профилей L2TP и заново протоколы которые там были (без 3DESов) ввести, но в другом порядке - сначала более стойкое шифрование, следующей строкой более слабое.

В 12.08.2021 в 16:23, werldmgn сказал:

Для случаев, когда кинетик выступает клиентом, полагаю. Создав исходящее l2tp/ipsec подключение с кинетика, например, можно ему задать уровень шифрования   interface l2tp0 ipsec encryption-level strong

Этот метод сработал, при том в режиме сервера протоколы изменились(но в Фазе2), спасибо большое. Правда и минусы нашел:

1. У меня настроен еще и L2tpIPsec клиент до VPS в Нидердандах. А протоколы уровня strong прописались как в клиенте, так и в сервере (Фаза2).  Так что клиент престал подключаться к VPSу))) Решение чуть выше написал - именно редактирование профиля L2TPServer.

2. Еще нюанс именно в сервере - Фаза 1 остается с слабыми протоколами по умолчанию..

В 14.08.2021 в 20:47, Le ecureuil сказал:

Ну так "максимальная производительность" - он про скорость на 2 фазе, где на самом деле происходит передача данных. При чем тут IKE?

IKE тут при том (если я правильно понимаю), что при Фазе 1 происходит обмен ключами для фазы 2, на которой ключами с Фазы 1 и шифруется трафик. Соответственно, условный кулхацкер или тов.майор берет копию netflow, дешифрует фазу 1 (если она нестойким алгоритмом зашифрована) и получает ключи для дешифровки Фазы 2.... Profit!

Конечно, можно сказать что я заморачиваюсь, но тут вопрос в смысле шифрования IPSec'ом - смысл теряется от сложного в настройке от IPSecа, если можно тот же PPTP VPN включить, все равно его вскроет любой профессионал)))

PS: Настроил на внешнем сервере WireGuard + на роутере клиент WG настроил - все отлично работает)) Ранее не понимал - что так все его хвалят... Оказалось он прост в настройке, нет требует больших знаний в безопасности протоколов (используемых в IPSEC) и шустро работает. Протестировал - 100мбит/с скачивание торрентов грузит CPU кинетика (Giga) на 50%.

Edited August 16, 2021 by Happo

[Happo]

Посоветуйте, пожалуйста приложение ВПН-клиент для Windows 10 которое умеет L2TP IPsec подключение устанавливать с большим количеством протоколов - интересно скорость протестировать на продвинутом шифровании.

[Le ecureuil]

9 часов назад, Happo сказал:

Посоветуйте, пожалуйста приложение ВПН-клиент для Windows 10 которое умеет L2TP IPsec подключение устанавливать с большим количеством протоколов - интересно скорость протестировать на продвинутом шифровании.

Боюсь что такого нет. По крайней мере всегде идет расчет только на встроенный клиент.

[Dmitrij Koniajev]

Поднял на роутере L2TP/IPSec VPN сервер. Попробовал подсоединиться с мобильного Android телефона - все работает. Пробую с макбука (macOS Big Sur, 11.4) - соединиться не получается, хотя в логах роутера видно, что происходит попытка, которая заканчивается ошибкой:

 

Сен 6 13:21:32

ipsec
14[IKE] received NAT-T (RFC 3947) vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received FRAGMENTATION vendor ID

Сен 6 13:21:32

ipsec
14[IKE] received DPD vendor ID

Сен 6 13:21:32

ipsec
14[IKE] XXX.XXX.X.XXX is initiating a Main Mode IKE_SA

Сен 6 13:21:32

ipsec
14[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024

Сен 6 13:21:32

ipsec
14[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF [...]

Сен 6 13:21:32

ipsec
14[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Сен 6 13:21:32

ipsec
14[IKE] sending XAuth vendor ID

Сен 6 13:21:32

ipsec
14[IKE] sending DPD vendor ID

Сен 6 13:21:32

ipsec
14[IKE] sending FRAGMENTATION vendor ID

Сен 6 13:21:32

ipsec
14[IKE] sending NAT-T (RFC 3947) vendor ID

Сен 6 13:21:32

ipsec
08[IKE] remote host is behind NAT

Сен 6 13:21:32

ipsec
08[IKE] linked key for crypto map '(unnamed)' is not found, still searching

Сен 6 13:21:32

ipsec
12[IKE] message parsing failed

Сен 6 13:21:32

ipsec
12[IKE] ID_PROT request with message ID 0 processing failed

Сен 6 13:21:36

ipsec
10[IKE] message parsing failed

Сен 6 13:21:36

ipsec
10[IKE] ID_PROT request with message ID 0 processing failed

Сен 6 13:21:39

ipsec
12[IKE] message parsing failed

Сен 6 13:21:39

ipsec
12[IKE] ID_PROT request with message ID 0 processing failed

Сен 6 13:21:42

ipsec
11[IKE] message parsing failed

Сен 6 13:21:42

ipsec
11[IKE] ID_PROT request with message ID 0 processing failed

Сен 6 13:21:55

ipsec
12[IKE] message parsing failed

Сен 6 13:21:55

ipsec
12[IKE] ID_PROT request with message ID 0 processing failed

Попробовал погуглить похожую проблему.
Нашел Configuring L2TP VPN to use with iOS 14 and macOS Big Sur
Где пишут о проблеме подсоединения к L2TP VPN после обновления macOS:
 

Цитата

Starting with iOS 14 and macOS Big Sur (coming soon), IPsec supports HMAC-SHA-256 with L2TP VPN. To make sure that VPN client devices running iOS 14 and macOS Big Sur can connect to your L2TP VPN server, configure the server to truncate the output of the SHA-256 hash to 128 bits. Truncating to fewer than 128 bits will result in L2TP VPN failing to connect.

То же самое пишет сам Apple: Configuring L2TP VPN servers to work with iOS 14 and macOS Big Sur client devices

В качестве решения предлагается отредактиворовать /etc/ipsec.conf и поменять sha2-truncbug=yes на sha2-truncbug=no

Можно ли такое провернуть на роутере Keenetic? Кто-нибудь сталкивался с подобным?

Edited September 6, 2021 by Dmitrij Koniajev

[Aleksandr]

Может ответ будет не полезен, но попробуйте, у меня был настроен vpn сервер ipsec который прекрасно работал с клиентом android. Возникла необходимость подключиться с iOS (iPhone) - но были ошибки подключения, пока не установил дополнительно на роутере vpn сервер ikev2. После этого iPhone подключился по ipsec...

 

[Le ecureuil]

Не надо ничего проворачивать, у вас все равно в IKE выбирается SHA1-96, потому 256_128 не при чем. Пока похоже больше на конфликт PSK, он точно правильный?

[Dmitrij Koniajev]

3 часа назад, Le ecureuil сказал:

Не надо ничего проворачивать, у вас все равно в IKE выбирается SHA1-96, потому 256_128 не при чем. Пока похоже больше на конфликт PSK, он точно правильный?

Из офиса вдруг заработало. До этого я проверял с ноутбука, который был подключен к Интернету через мобильник (точка доступа) по W-Fi. Там что-то пошло не так. На счет правильности PSK: копировал все из сообщения в тлеграмм. Попробую еще раз из дома через мобильный интернет.

[SACRED]

Здравствуйте, подскажите, есть ли ограничение по скорости L2tp? Скорость скачивания через vpn не поднимается больше 2мб/с. KN-1810

Edited September 20, 2021 by SACRED

[Le ecureuil]

В 20.09.2021 в 20:34, SACRED сказал:

Здравствуйте, подскажите, есть ли ограничение по скорости L2tp? Скорость скачивания через vpn не поднимается больше 2мб/с. KN-1810

Клиент? Сервер? Какое устройство на другом конце?

[SACRED]

В 01.10.2021 в 16:44, Le ecureuil сказал:

Клиент? Сервер? Какое устройство на другом конце?

На другом конце Xiaomi redmi note 8 pro. Протестировал скачивание с ПК, уперся в предел тарифного плана, скачивало по 5мб.с На мобильном устройстве пока не понятно,  скачивание с внешнего сайта  без впн от 5 до 7мб.

Edited October 2, 2021 by SACRED

[wdmaster]

Начиная с 3.7 beta 3, через IPsec Xauth PSK меня в локальной сети определяет как 127.0.0.1 а не 172.20.0.1. Так должно быть?

[Le ecureuil]

1 час назад, wdmaster сказал:

Начиная с 3.7 beta 3, через IPsec Xauth PSK меня в локальной сети определяет как 127.0.0.1 а не 172.20.0.1. Так должно быть?

Где лог?

[wdmaster]

3 hours ago, Le ecureuil said:

Где лог?

Я ошибся, прошу прощения, лог пишет все хорошо. Проблема в другом при подключении IPsec Xauth PSK в локальную сеть я ожидаю с $_SERVER['SERVER_ADDR'] получить 172.20.0.1, а получаю ip полученный в сети мобильного оператора. 

IpSec::CryptoMapInfo: "VirtualIPServer": crypto map is up: remote client "admin" @ "10.108.225.67" with IP "172.20.0.1" connected.

[Le ecureuil]

13 часа назад, wdmaster сказал:

Я ошибся, прошу прощения, лог пишет все хорошо. Проблема в другом при подключении IPsec Xauth PSK в локальную сеть я ожидаю с $_SERVER['SERVER_ADDR'] получить 172.20.0.1, а получаю ip полученный в сети мобильного оператора. 

IpSec::CryptoMapInfo: "VirtualIPServer": crypto map is up: remote client "admin" @ "10.108.225.67" with IP "172.20.0.1" connected.

При чем тут вообще php? Может подробнее распишете свою схему, мы же не ванги здесь.