Настройка IPsec для NDMS

[iFinder]

1. Состояние интерфейса будет показываться в веб-интерфейсе, только его редактирование будет все ломать: аккуратнее.

Ну и можно воспользоваться командой

(config)> show interface L2TPoverIPsec0

Понятно, спасибо.

2. (config)> no interface L2TPoverIPsec0 connect

сейчас как раз изучаю Руководство CLI и осмелюсь предположить, что может так надо:

(config)> interface L2TPoverIPsec0 no connect ?

3. Так же как обычно это делается в веб-интерфейсе для другого VPN-подключения навроде L2TP или PPTP.

Вы имеет ввиду, что маршрутизация настраивается через раздел Web-интерфейса: Интернет - Дополнительно - Статические маршруты

Тип маршрута: Маршрут до сети

Адрес сети назначения: 192.168.21.0

Маска подсети: 255.255.255.0

Добавлять автоматически: Да

Адрес шлюза: 192.168.11.1

Интерфейс: L2TPoverIPsec0 - ТАК ???

Метрика: {можно не указывать}

А разрешения настраиваются в: Безопасность - Межсетевой экран - Правила для интерфейса - L2TPoverIPsec0 ?

4. Переведите интерфейс в приватный режим:

(config)> interface L2TPoverIPsec0 security-level private

а дальше точно также как для других интерфейсов.

Понятно, спасибо.

[Le ecureuil]

2. (config)> no interface L2TPoverIPsec0 connect

сейчас как раз изучаю Руководство CLI и осмелюсь предположить, что может так надо:

(config)> interface L2TPoverIPsec0 no connect ?

3. Так же как обычно это делается в веб-интерфейсе для другого VPN-подключения навроде L2TP или PPTP.

Вы имеет ввиду, что маршрутизация настраивается через раздел Web-интерфейса: Интернет - Дополнительно - Статические маршруты

Тип маршрута: Маршрут до сети

Адрес сети назначения: 192.168.21.0

Маска подсети: 255.255.255.0

Добавлять автоматически: Да

Адрес шлюза: 192.168.11.1

Интерфейс: L2TPoverIPsec0 - ТАК ???

Метрика: {можно не указывать}

А разрешения настраиваются в: Безопасность - Межсетевой экран - Правила для интерфейса - L2TPoverIPsec0 ?

2. Нет, префикс no всегда указывается в самом начале команды.

3. Да, так.

[iFinder]

Выполнил все по порядку:

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ipsecure preshared-key 12345678 {ключ PSK}

(config-if)> up

(config-if)> connect

ДОБАВИЛ ПО СВОЕЙ ИНИЦИАТИВЕ, ЧТОБЫ ПОЛЕ В WEB_ИНТЕРФЕЙСЕ БЫЛО ЗАПОЛНЕНО: (config-if)> description L2TP/IPsec-client_Persey [без пробелов]

ЭТО ПОКА НЕ ДЕЛАЛ: (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

Сохранил настройки. Вот что оказалось в настройках:

interface L2TPoverIPsec0

description L2TP/IPsec-client_Persey

peer 1.1.1.1 {внешний адрес DFL}

no ipv6cp

lcp echo 30 3

ipcp default-route

ipcp name-servers

ipcp dns-routes

no ccp

security-level public

authentication identity Giga_R {Имя}

authentication password ns3 rY2Obo/Nw56mCjbdAf/kcRVq

ip dhcp client dns-routes

ip dhcp client name-servers

ip mtu 1400

ipsecure preshared-key ns3 3R/il+we56mCjbvPVJ42zq8arV6sTYeSa56mCjbh5enEH1Nt41YRRw

no connect

up

service ipsec - появилось после того, как поставил галку Приложения - IPsec VPN - Включить: Да

Но соединения не произошло. В WEB-интерфейсе L2TPoverIPsec0 появился как новый Интернет интерфейс с состоянием "серые часики". Вот что нашел в логах:

May 19 00:25:08ndm

Network::Interface::Base: "L2TPoverIPsec0": interface is up.

May 19 00:25:15ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": remote endpoint is resolved to "1.1.1.1".

May 19 00:25:15ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": local endpoint is resolved to "192.168.43.129". [Выход в инет был через WISP на Android-смартфоне]

May 19 00:25:15ndm

IpSec::Manager: IP secure connection "L2TPoverIPsec0" was added.

May 19 00:25:17ndm

IpSec::Manager: create IPsec reconfiguration transaction...

May 19 00:25:17ndm

IpSec::Manager: IPsec reconfiguration transaction was created.

May 19 00:25:17ndm

IpSec::Configurator: start applying IPsec configuration.

May 19 00:25:17ndm

IpSec::Configurator: init empty runtime state for crypto map "L2TPoverIPsec0".

May 19 00:25:17ndm

IpSec::Configurator: IPsec configuration apply is done.

May 19 00:25:17ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.

May 19 00:25:17ndm

Network::Interface::PPP: disabled connection.

May 19 00:25:17ndm

IpSec::Configurator: start reloading IPsec config task.

May 19 00:25:17ipsec

14[CFG] received stroke: add connection 'L2TPoverIPsec0'

May 19 00:25:18ipsec

14[CFG] added configuration 'L2TPoverIPsec0'

May 19 00:25:18ndm

IpSec::Configurator: reloading IPsec config task done.

May 19 00:25:18ndm

IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration...

May 19 00:25:18ndm

IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.

May 19 00:25:18ndm

IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.

May 19 00:25:18ipsec

13[CFG] received stroke: initiate 'L2TPoverIPsec0'

May 19 00:25:18ipsec

15[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 1.1.1.1

May 19 00:25:19ndm

IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.

May 19 00:25:19ipsec

07[iKE] received draft-stenberg-ipsec-nat-traversal-01 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-stenberg-ipsec-nat-traversal-02 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

May 19 00:25:19ipsec

07[iKE] received NAT-T (RFC 3947) vendor ID

May 19 00:25:19ipsec

07[iKE] received DPD vendor ID

May 19 00:25:20ipsec

08[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching

[Le ecureuil]

Выполнил все по порядку:

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ipsecure preshared-key 12345678 {ключ PSK}

(config-if)> up

(config-if)> connect

ДОБАВИЛ ПО СВОЕЙ ИНИЦИАТИВЕ, ЧТОБЫ ПОЛЕ В WEB_ИНТЕРФЕЙСЕ БЫЛО ЗАПОЛНЕНО: (config-if)> description L2TP/IPsec-client_Persey [без пробелов]

ЭТО ПОКА НЕ ДЕЛАЛ: (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

Сохранил настройки. Вот что оказалось в настройках:

interface L2TPoverIPsec0

description L2TP/IPsec-client_Persey

peer 1.1.1.1 {внешний адрес DFL}

no ipv6cp

lcp echo 30 3

ipcp default-route

ipcp name-servers

ipcp dns-routes

no ccp

security-level public

authentication identity Giga_R {Имя}

authentication password ns3 rY2Obo/Nw56mCjbdAf/kcRVq

ip dhcp client dns-routes

ip dhcp client name-servers

ip mtu 1400

ipsecure preshared-key ns3 3R/il+we56mCjbvPVJ42zq8arV6sTYeSa56mCjbh5enEH1Nt41YRRw

no connect

up

service ipsec - появилось после того, как поставил галку Приложения - IPsec VPN - Включить: Да

Но соединения не произошло. В WEB-интерфейсе L2TPoverIPsec0 появился как новый Интернет интерфейс с состоянием "серые часики". Вот что нашел в логах:

May 19 00:25:08ndm

Network::Interface::Base: "L2TPoverIPsec0": interface is up.

May 19 00:25:15ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": remote endpoint is resolved to "1.1.1.1".

May 19 00:25:15ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": local endpoint is resolved to "192.168.43.129". [Выход в инет был через WISP на Android-смартфоне]

May 19 00:25:15ndm

IpSec::Manager: IP secure connection "L2TPoverIPsec0" was added.

May 19 00:25:17ndm

IpSec::Manager: create IPsec reconfiguration transaction...

May 19 00:25:17ndm

IpSec::Manager: IPsec reconfiguration transaction was created.

May 19 00:25:17ndm

IpSec::Configurator: start applying IPsec configuration.

May 19 00:25:17ndm

IpSec::Configurator: init empty runtime state for crypto map "L2TPoverIPsec0".

May 19 00:25:17ndm

IpSec::Configurator: IPsec configuration apply is done.

May 19 00:25:17ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.

May 19 00:25:17ndm

Network::Interface::PPP: disabled connection.

May 19 00:25:17ndm

IpSec::Configurator: start reloading IPsec config task.

May 19 00:25:17ipsec

14[CFG] received stroke: add connection 'L2TPoverIPsec0'

May 19 00:25:18ipsec

14[CFG] added configuration 'L2TPoverIPsec0'

May 19 00:25:18ndm

IpSec::Configurator: reloading IPsec config task done.

May 19 00:25:18ndm

IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration...

May 19 00:25:18ndm

IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.

May 19 00:25:18ndm

IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.

May 19 00:25:18ipsec

13[CFG] received stroke: initiate 'L2TPoverIPsec0'

May 19 00:25:18ipsec

15[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 1.1.1.1

May 19 00:25:19ndm

IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.

May 19 00:25:19ipsec

07[iKE] received draft-stenberg-ipsec-nat-traversal-01 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-stenberg-ipsec-nat-traversal-02 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

May 19 00:25:19ipsec

07[iKE] received NAT-T (RFC 3947) vendor ID

May 19 00:25:19ipsec

07[iKE] received DPD vendor ID

May 19 00:25:20ipsec

08[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching

Мало логов, скиньте полный self-test после нескольких неудачных попыток подключиться.

(config)> service ipsec - делать было не нужно, все отработает автоматически.

(config)> interface L2TPoverIPsec0 connect - вот этой команды выполнено не было, выполните ее обязательно, иначе соединение не будет подниматься.

[T@rkus]

Что то у меня на Giga II v2.06(AAFS.1)B3 настройки IPsec-подключения перестали сохраняться. На предыдущей прошивке все работало. Такая же картина на Lite III v2.07(AAUQ.2)A3. Только хотел за ценить. И на те!

[r13]

Ultra2 v2.07(AAUX.2)A3 аналогично, кнопка применить не доступна

Что то у меня на Giga II v2.06(AAFS.1)B3 настройки IPsec-подключения перестали сохраняться. На предыдущей прошивке все работало. Такая же картина на Lite III v2.07(AAUQ.2)A3. Только хотел за ценить. И на те!

[Le ecureuil]

Ultra2 v2.07(AAUX.2)A3 аналогично, кнопка применить не доступна

Что то у меня на Giga II v2.06(AAFS.1)B3 настройки IPsec-подключения перестали сохраняться. На предыдущей прошивке все работало. Такая же картина на Lite III v2.07(AAUQ.2)A3. Только хотел за ценить. И на те!

Завтра проверим, скорее всего мелкий баг в веб-интерфейсе.

[ndm]

Ultra2 v2.07(AAUX.2)A3 аналогично, кнопка применить не доступна

Есть в списке багов (веб в 2.06 и 2.07 одной версии, поэтому проблема сквозная):

3.5 Перестали сохраняться настройки IPsec (В работе: http://keenopt.ru/viewtopic.php?p=4445#p4441)

[paramon4ek]

Подскажите пожалуйста, а сколько туннелей поддерживает ULTRA II ?

Не могу построить больше 2-х.

Задача принять на ULTRA II три туннеля от трёх GIGA 3.

2 работают прекрасно, третий не подключается.

ULTRA II - v2.06(AAUX.5)A7

GIGA III - v2.06(AAUW.5)A7

На ULTRA II идентификаторы разные для трёх пиров:

1. FQDN

2. адрес

3. email

Везде IKE v2,

По IKE v1 вообще не подключается никак.

Делал по примеру:

https://zyxel.ru/kb/4857/

На ULTRA II пишет:

Log: invalid message format: unable to use more than %1 crypto maps concurrently, skip crypto map "%1".

На GIGA III пишет

15[iKE] received AUTHENTICATION_FAILED notify error

Jun 11 14:48:46ndmIpSec::Configurator: remote peer rejects to authenticate our IPsec crypto map "XXXX".

Jun 11 14:48:46ndmIpSec::Configurator: (possibly because of wrong local/remote ID).

Jun 11 14:48:46ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "XXXX", retry.

Как только удаляю один из работающих, то третий сразу подключается нормально.

Может больше 2-х туннелей не поддерживается и я зря трачу время?

[Le ecureuil]

Подскажите пожалуйста, а сколько туннелей поддерживает ULTRA II ?

Не могу построить больше 2-х.

Задача принять на ULTRA II три туннеля от трёх GIGA 3.

2 работают прекрасно, третий не подключается.

ULTRA II - v2.06(AAUX.5)A7

GIGA III - v2.06(AAUW.5)A7

На ULTRA II идентификаторы разные для трёх пиров:

1. FQDN

2. адрес

3. email

Везде IKE v2,

По IKE v1 вообще не подключается никак.

Делал по примеру:

https://zyxel.ru/kb/4857/

На ULTRA II пишет:

Log: invalid message format: unable to use more than %1 crypto maps concurrently, skip crypto map "%1".

На GIGA III пишет

15[iKE] received AUTHENTICATION_FAILED notify error

Jun 11 14:48:46ndmIpSec::Configurator: remote peer rejects to authenticate our IPsec crypto map "XXXX".

Jun 11 14:48:46ndmIpSec::Configurator: (possibly because of wrong local/remote ID).

Jun 11 14:48:46ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "XXXX", retry.

Как только удаляю один из работающих, то третий сразу подключается нормально.

Может больше 2-х туннелей не поддерживается и я зря трачу время?

Да, именно.

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).

[paramon4ek]

Да, именно.

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).

Ужас! Это прям реальная подстава от Zyxel. Не ожидал такого от Zyxel. Предупреждать надо.

Этого же нигде не заявлено.

Я только ради этого их и купил. Три дня убил в пустую.

Ну почему не 3, не 4, а всего 2?

Мне и надо то всего 3шт.

Я думаю, что ULTRA II, вполне могла бы потянуть 3 туннеля DES с небольшим трафиком.

Это всё покупалось ради замены PPTP, который почему то при смене прошивки ещё и отвалился совсем. Тоже PPTP сервер никак не хочет работать вообще. Т

Может тоже есть какие нибудь скрытые ограничения о которых Zyxel умалчивает?

[Le ecureuil]

Да, именно.

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).

Ужас! Это прям реальная подстава от Zyxel. Не ожидал такого от Zyxel. Предупреждать надо.

Этого же нигде не заявлено.

Я только ради этого их и купил. Три дня убил в пустую.

Ну почему не 3, не 4, а всего 2?

Мне и надо то всего 3шт.

Я думаю, что ULTRA II, вполне могла бы потянуть 3 туннеля DES с небольшим трафиком.

Это всё покупалось ради замены PPTP, который почему то при смене прошивки ещё и отвалился совсем. Тоже PPTP сервер никак не хочет работать вообще. Т

Может тоже есть какие нибудь скрытые ограничения о которых Zyxel умалчивает?

Я обычно не особо в курсе насчет того, что обещает людям менеджмент, но вот тут они явно захотели ограничение в два туннеля. Думал что где-то это отражено.

[paramon4ek]

Я обычно не особо в курсе насчет того, что обещает людям менеджмент, но вот тут они явно захотели ограничение в два туннеля. Думал что где-то это отражено.

Увы. Этого нет нигде. Пусть хоть напишут где-нибудь и не вводят людей в заблуждение.

P.S.

Мне очень интересно Ваше сообщение, но я не могу ответить на Ваше личное сообщение, т.к.:

"Вам не разрешено использовать данную возможность. Возможно, вы недавно зарегистрировались на конференции или вам необходимо проявить больше активности на ней, чтобы получить такое право."

[ndm]

Да, именно.

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).

Ужас! Это прям реальная подстава от Zyxel. Не ожидал такого от Zyxel. Предупреждать надо.

Этого же нигде не заявлено.

Я только ради этого их и купил. Три дня убил в пустую.

Ну почему не 3, не 4, а всего 2?

Мне и надо то всего 3шт.

Я думаю, что ULTRA II, вполне могла бы потянуть 3 туннеля DES с небольшим трафиком.

Без паники. Поскольку с draft-версией у нас есть определенная свобода, мы могли бы "раздушить" этот параметр и вместе с вами убедиться, насколько он "легко перезагружается". Заодно получим объективную информацию с полей... L'ecureuil, что скажешь?

[Konstantin2]

Хочу поделится опытом подключения Keenetic ( в качестве клиента) к Kerio control

Ну, и чтобы самому не забыть.

Keenetic Ultra (первая версия, экспериментальная прошивка скачана с этого сайта) NDMS 2.06. Kerio 9

1)В керио надо создать еще 1 ВПН, после встроенного. Картинка 1 снизу-встроенный ВПН, картинка-2 снизу второй ВПН

у remote id задайте имя

задайте pre-shared key

задайте удаленную сеть (ваша дома)-картинка 6

локальную сеть задавать не надо-оставляете галочку-определять автоматически

2)Убедитесь, чту у керио нет такой же подсети как у вас дома. Картинка 3 ( у меня в керио на работе входит кинетик с юсб интернетом (сеть 192.168.1.*) поэтому дома я переделал сеть у кинетика на 192.168.2.* (ну или можно 192.168.0.*) Картинка 4-как переделать сеть у кинетика

3) картинка 5-настройка кинетика. http://my.keenetic.net/#security.ipsec

Разумеется надо включить ipsec в компонентах http://my.keenetic.net/#tools.components

удаленный шлюз=айпи керо

Идентификатор этого шлюза= remote id

шифрование IKE/DH/SA-если на картинке phase 1/2 cipher у вас как у меня, то галочки ставите как у меня. Если нет то здесь ставите как у вас. Номер DH можно определить здесь http://kb.kerio.com/product/kerio-contr ... -1390.html Supported ciphers

к примеру modp2048= DH 14

ключ PSK = preshared key у второго ВПН, а не у встроенного

И да, имя/пароль юзера от Керио нигде вводить не нужно.

Edited June 18, 2016 by Guest

[Le ecureuil]

Судя по формату записи cypher proposal в нутрях Kerio используется либо Strongswan, либо openswan, либо libreswan

[vadimbn]

В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

(config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK}

(config-if)> up

(config-if)> connect

Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие:

L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
L2TPoverIPsec0{11}:  INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o
L2TPoverIPsec0{11}:  AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hours

Вопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать?

В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования).

Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft.

[Le ecureuil]

В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

(config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK}

(config-if)> up

(config-if)> connect

Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие:

L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
L2TPoverIPsec0{11}:  INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o
L2TPoverIPsec0{11}:  AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hours

Вопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать?

В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования).

Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft.

Пока нельзя.

Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим.

[S_A]

L'ecureuil, спрошу на всякий (я не знаком с настройками IPSec). Если я хочу подключится к своей рабочей сети (Cisco ASA, вход по сертификату плюс LDAP аккаунт), то я пока не смогу этого сделать? Или как-то можно вытащить/сгенерировать PSK из сертификата?

[Le ecureuil]

L'ecureuil, спрошу на всякий (я не знаком с настройками IPSec). Если я хочу подключится к своей рабочей сети (Cisco ASA, вход по сертификату плюс LDAP аккаунт), то я пока не смогу этого сделать? Или как-то можно вытащить/сгенерировать PSK из сертификата?

Нет, выдрать нельзя.

Это вообще разные технологии.

У нас пока нет возможности работать по сертификатам.

[vadimbn]

Пока нельзя.

Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим.

В общем, не долго все работало. То ли после обновления файла прошивки, то ли еще после каких-то действий - все перестало работать.

В логах вот такое:

Jun 27 01:44:50ndm

Network::Interface::Base: "L2TPoverIPsec0": interface is up.

Jun 27 01:44:51ipsec

Starting strongSwan 5.4.0 IPsec [starter]...

Jun 27 01:44:51ipsec

00[DMN] Starting IKE charon daemon (strongSwan 5.4.0, Linux 3.4.112, mips)

Jun 27 01:44:51ipsec

00[CFG] loading secrets

Jun 27 01:44:51ipsec

00[CFG] loaded IKE secret for 178.49.84.4 217.65.85.194

Jun 27 01:44:51ipsec

00[CFG] starting systime check, interval: 10s

Jun 27 01:44:51ipsec

00[LIB] loaded plugins: charon aes des sha2 sha1 md5 random nonce openssl xcbc cmac hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix

Jun 27 01:44:51ipsec

05[CFG] received stroke: add connection 'L2TPoverIPsec0'

Jun 27 01:44:51ipsec

05[CFG] added configuration 'L2TPoverIPsec0'

Jun 27 01:44:51ipsec

07[CFG] received stroke: initiate 'L2TPoverIPsec0'

Jun 27 01:44:51ipsec

07[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 217.65.85.194

Jun 27 01:44:51ipsec

09[iKE] received NAT-T (RFC 3947) vendor ID

Jun 27 01:44:51ipsec

09[iKE] received DPD vendor ID

Jun 27 01:44:51ipsec

10[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching

Jun 27 01:44:59ipsec

16[iKE] sending retransmit 1 of request message ID 0, seq 3

Jun 27 01:45:01ipsec

08[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:08ipsec

10[iKE] sending retransmit 2 of request message ID 0, seq 3

Jun 27 01:45:11ipsec

13[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:18ipsec

16[iKE] sending retransmit 3 of request message ID 0, seq 3

Jun 27 01:45:21ipsec

08[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:29ipsec

11[iKE] sending retransmit 4 of request message ID 0, seq 3

Jun 27 01:45:31ipsec

14[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:40ipsec

06[iKE] sending retransmit 5 of request message ID 0, seq 3

Jun 27 01:45:41ipsec

07[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:43ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": shutting down connection.

Jun 27 01:45:43ndm

Network::Interface::PPP: "L2TPoverIPsec0": disabled connection.

В чем может быть дело? Второй день бьюсь, пересоздавал интерфейс, сбрасывал настройки - все равно не работает. Можете подсказать, где косяк? Что нужно для диагностики?

[KorDen]

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?).

Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием?

[Le ecureuil]

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?).

Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием?

L2TPoverIPSec не считаются. Использует crypto engine hardware. В скором времени функция будет немного переделана, изменится и конфигурация, будьте внимательны.

Да, отключение NAT делается именно как в статье, и работает только для статического IP. Для динамического (по крайней мере пока) нет.

[vadimbn]

В общем, не долго все работало. То ли после обновления файла прошивки, то ли еще после каких-то действий - все перестало работать.

Тут Keenetic был не при делах, каким-то образом я на Mikrotik умудрился создать статический Peer, без ключа и с адресом 0.0.0.0/0, при подключении именно он и использовался. Ключа в нем не было, подключиться к роутеру используя IPsec было невозможно. После его удаления начал создаваться динамический Peer, с ключом из настроек L2TP-сервера, и все опять заработало.

[r13]

Здравствуйте, соединил 2 ультры (первую и вторую). IPSec тоннель поднялся все ок. Удаленная ультра из сети пингуется, но ни в веб ни в телнет зайти не удается, просто отсутсвует соединение. Что я делаю не так?

[Le ecureuil]

Здравствуйте, соединил 2 ультры (первую и вторую). IPSec тоннель поднялся все ок. Удаленная ультра из сети пингуется, но ни в веб ни в телнет зайти не удается, просто отсутсвует соединение. Что я делаю не так?

А зайти на любой другой хост из удаленной сети получается?

[r13]

Там пока за роутером только тв приставка. Заходить больше некуда

Ладно подождем пока появится что нибудь более интеллектуальное на той стороне.

[ICMP]

Добрый день!

Можно ли уже настроить на RT6856 IPSec сервер так чтоб он был шлюзом для своих клиентов?  

Edited July 14, 2016 by ICMP

[Le ecureuil]

6 часов назад, ICMP сказал:

Добрый день!

Можно ли уже настроить на RT6856 IPSec сервер так чтоб он был шлюзом для своих клиентов?  

Добрый день.

Пока еще нет, разработка в процессе.

[JIABP]

В 14.07.2016 в 18:06, Le ecureuil сказал:

Добрый день.

Пока еще нет, разработка в процессе.

Правильно ли я понимаю, что под шлюзом для своих клиентов понимается функционал аналогичный PPTP-серверу, когда кроме доступа к внутренней сети предоставляется так же доступ к интернету? Если всё верно понял, это будет в релизе 2.07 для гиги 3 или оно "в работе, по времени не известно"?