server L2TP/IPSEC na Linuxu

Řešil jsem a mám nasazeno a funkční L2TP over IPSEC s tím, že server mám za natem a klienti mohou být také za natem + není problém více klientů za stejným natem. Každopádně L2TP nepřináší žádné výhody, proto mám nakonec všechny na IKEv2 (a rozepsaný článek o IPSECu a Byod).
Pokud vážně chceš L2TP a né IKEv2, tak doporučení jsou :

pokud máš server za natem, tak Windows klienti ti fungovat nebudou, dokud jim do registrů nezapíšeš, aby ignorovaly checksummy L2TP, který jsou tunelovaný v IPSEC tunelu, tj. "AssumeUDPEncapsulationContextOnSendRule"
pokud to budeš provozovat na FreeBSD (třeba pomocí pfSense) a zároveň budeš mít server za natem, tak si ověř, že máš opatchovaný/fixnutý kernel, viz bug 146190
pokud narazíš na článek / howto, který ti bude radit, aby jsi na fw povoloval L2TP port 1701, tak přestaň číst a uteč, protože dotyčný neví, co dělá

Zdar Max

Měl jsem sen ... :(

11.7.2020 16:53 Petr K.
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Dobrý den Maxi a děkuji za zajímavý příspěvěk.
Prosím, neměl by jste nějaké doporučení na zajímavé/vhodné howto ?

Díky,
Petr

13.7.2020 09:41 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Instaloval jsem to před 4 roky a ucelený návod asi tenkrát nikde nebyl, nevím. Vesměs jde o to nainstalovat strongswan + xl2tpd a poté je nastavit. Navíc pro strongswan teď moc návodů platit nebude, jelikož přešli na novou syntaxi (nový konfigurační systém souborů). Mají ale i notičky, jak kterou volbu přepsat do nového nastavení. Dělal jsem to teď, když jsem stavil nový server (už bez L2TP, čistě jen IKEv2). Stále ještě podporují starou syntaxi, ale proč dnes stavět něco na něčem legacy.

Dále to, co se strongswanem používám, je i virtuální interface xfrm. Aby to na debianu fungovalo, musí se naladit backports repository a z něj pak nový kernel a iproute.
Zdar Max
PS: strongswan si kompiluji, abych měl v Debianu vždy poslední verzi (pomocí deb-src ze sid repository)

Měl jsem sen ... :(

15.7.2020 20:02 Petr
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Tak na tohle porno seru :-)

Ale i tak díky ! :-)

Petr

15.7.2020 23:09 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

Asi takhle, nikdo tě nenutí si kompilovat strongswan a používat virtuální interface xfrm a používat novou syntaxi konfiguráku. Mně jen byla škoada toho nevyužít, kdy je to aktuální stav. Stále si můžeš naladit distribuční verzi, použít legacy syntaxy a místo xfrm používat vti. Na pár let i déle ti to rozhodně bude v klidu stačit.
Zdar Max

Měl jsem sen ... :(

31.7.2020 00:52 [Jooky]
Rozbalit Rozbalit vše Re: server L2TP/IPSEC na Linuxu

pokud narazíš na článek / howto, který ti bude radit, aby jsi na fw povoloval L2TP port 1701, tak přestaň číst a uteč, protože dotyčný neví, co dělá

Radsej nikde neutekat a skorsie docitat clanok s pochopenim ... Tiez planujem nasadzovat L2TP/IPSec a co som si vsimol, tak velmi malo clankov riesi "co sa deje na drote" ... Casto krat je jeden clanok pre L2TP/None, L2TP/MPPE a L2TP/IPSec. Potom uz len niekde na konci je okrajovo spomenute, ze treba 1701/UDP (l2tp), 500/UDP (isakmp), 4500/UDP(ipsec-nat-t) a IPSEC-ESP. Casto krat bez poznamok, co je co a k comu sa pouziva (len cisla portov). Zrejme uz nevyslo miesto na konkretnejsie informacie :D

Ktore porty a ako povolit dost zalezi aj na konkretnej situacii ... ked ma clovek jeden FW na vstupe do siete a az niekde v sieti sedi VPN server (bez firewallu), tak samozrejme staci na FW povolit len IPSec veci a L2TP port nema zmysel tam povolovat. Taka konfiguracia je aj dalsia obrana voci chybe, kedy by sa client pripojil s L2TP/None, alebo L2TP/MPPE. Proste ten port nie je dostupny, tak to nepojde ... ina situacia je ale, ked FW a VPN server sedi na jednom zariadeni. V mojom pripade, po tom co router desifruje IPSec, strci vysledny packet znova do input chain-u vo firewalle. Tym padom ten 1701 port povolit musim, alebo inac sa to k L2TP nedostane. Nastastie ta VPN cast si vie pozriet IPSec stav a "use-ipsec=require" zabezpeci, ze akekolvek ine spojenia su zahodene. Clienta to vyhodi, este nez vobec zacne nadvazovat spojenie ...

Je skoda, ze len malo clankov spomina, ako veci funguju interne a preco ktory port treba ...

Dotaz: server L2TP/IPSEC na Linuxu

Odpovědi