L2TP-клиент за NAT

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Sertik
Сообщения: 351
Зарегистрирован: 15 сен 2017, 09:03

05 мар 2018, 01:00

Ссылки хорошие, для общего развития спасибо.

Все же в конкретном применении мне не понятно шифруются у меня реально пакеты или нет ...
Микротик показывает, что клиент подключается с шифрованием но через протоколы esp (50) и ah (51) (если их выставить в firewall filter) пакеты не бегают ... Через порт 500 тоже. Где то в описаниях видел что порт 500 используется только между двумя Микротиками (то есть если клиент тоже Микротик а не Windows) ... правда это ?


Чего не знаем то нагуглим
Erik_U
Сообщения: 598
Зарегистрирован: 09 июл 2014, 12:33

05 мар 2018, 06:20

Для каждого подключения IPSEC Policies создает (на основе настроенного вами шаблона).
В нем можно посмотреть, какой конкретно протокол используется.


Sertik
Сообщения: 351
Зарегистрирован: 15 сен 2017, 09:03

05 мар 2018, 11:40

Erik, мы друг друга вероятно не понимаем. Может быть я не правильно спрашиваю.
Я, как Вы знаете, не "сетевик" по образованию, по этому могу не верно использовать терминологию, Вы уж простите, опишу как я представляю себе ситуацию, Вы меня поправите:

Смотрите, я же использую L2TP+IPSEC. То есть в данной связке IPSEC (если я правильно понимаю) используется не как VPN-тоннель - эту роль выполняет L2TP. IPSEC ему дает только шифрование. Все настройки адресов сервера и пользователя настраиваются в ppp-secret и ppp-profile.

Пойдем дальше - я же связываю не два Микротика - клиент и сервер, а связываю клиента Windows или android с микротиком L2TP-сервером с шифрованием IPsec. Поэтому относительно настроек самого IPsec на стороне "моих клиентов" настроек никаких нет, настройка вариантов "микротик-микротик" и "микротик - не микротик" по всем инструкциям, лежащим в Интернет, в том числе и "фирменным" в Wiki, отличаются и значительно.
В частности в политике IPSEC никакие адреса не указываются вообще при таких случаях (или поправьте меня ?)

То есть IPSEC я вообще не настраивал, используется политика по умолчанию. Да и что я могу там настроить в своем случае (ведь все что нужно настраивается в l2-tp части) ? Так что я вообще не понял, что Вы хотите сказать в плане настройки политик IPSEC в моей случае.

Сейчас, если короче - меня интересуют две вещи - почему я не вижу работу счетчиков в правилах по порту 500 и протоколам 50 и 51 ?
При этом, как я уже многократно писал, шифрование IPSEC вроде как по всем признакам у меня поднимается (см. предыдущие мои посты) и работает данной связке - с L2TP-тоннелем.
И второе - почему процессор минимально загружен - считается что ipsec должен его "прилично" грузить ? Ведь у меня банальный роутер 750Gr3 - там же нет аппаратного IPSEC - он что так быстро справляется или все же шифрования реально нет ?


Чего не знаем то нагуглим
Erik_U
Сообщения: 598
Зарегистрирован: 09 июл 2014, 12:33

05 мар 2018, 12:03

Ну мамадорогая.

ПРотокол используется другой потому, что в полиси вы разрешили использовать все.
Какой используется конкретно - посмотрите, это видно.

Про аппаратную поддержку

https://mikrotik.com/download/changelogs/

смотрите v 6.41

Код: Выделить всё

ipsec - improved hardware accelerated IPSec performance on 750Gr3;
И в статье, ссылку на которую давал выше, есть таблица Hardware acceleration. Hardware acceleration allows to do faster encryption process by using built-in encryption engine inside CPU.
https://wiki.mikrotik.com/wiki/Manual:I ... celeration

Вы в IP/IPsec/Policies настроили политику по умолчанию (или не настроили, а оставили ту, которая была). В ней указано, по каким протоколам работает IPSEC.
При установлении шифрованного соединения в этом же разделе появляется строка, соответствующая соединению. С указанием IP адресов, используемого протокола, и другой полезной информации.
Смотрите какой протокол используется, а потом в счетчиках пакетов у фильтров файервола смотрите счетчик того протокола, который используется в соединении.

Так понятно?


Sertik
Сообщения: 351
Зарегистрирован: 15 сен 2017, 09:03

05 мар 2018, 13:36

Спасибо ! Так гораздо лучше (понятнее), но мне "мамедорогой", не до конца ...

Проверил, то о чем Вы написали. В строке создаваемой динамически в политике при моих настройках отображается следующее:

1 DA, [локальный адрес моего роутера - не тот что в l2tp-сервер], scr port [1701] dst adr [адрес клиента - опять же не тот, что задан для l2tp-клиент] dst port [1701] protocol [17 udp], action - [encript], level - [unigue], tunnel - [no] ph2 state [established]

В ppp active users при этом у данного активного пользователя стоит encoding [cbc (aes)+hmac (sha1)]

Из Вашего объяснения следует что у меня все пашет через 17 UPD протокол, так ? Так что шифрования то у меня нет значит или оно есть но все через upd идет ?
Что мне нужно выставить в политике чтобы шло через 500 и 50 и 51 ? Там таких нет настроек. Ставить ipsec ?

Простите убогую "маму" ...


Чего не знаем то нагуглим
Sertik
Сообщения: 351
Зарегистрирован: 15 сен 2017, 09:03

05 мар 2018, 14:14

Еще в дополнение, если эту Вашу "строку" "открыть" щелчком по ней в Winbox, то открывается больше "свойств", в том числе есть вкладка Action, в которой есть строка Protocol IPSec. Там отображается esh (то есть протокол 50).
Так если шифрование идет по нему, какого же я не вижу этого в соответственно настроенном правиле в фильтре ? В том числе ни к каких цепочках ни входящих, ни исходящих, ни форвард ? Как они ходят то ?
Или они "внутри" udp и их вообще "увидеть" в данном случае (L2TP+IPSEC нельзя ? Может они видны только когда IPSEC используется только как самостоятельный тоннель, а не как транспорт ?
Или я вообще несу что то не то ?

Мамочка запуталась совсем ... Наглядный пример того, когда хороший специалист в своей деле занимается не своим делом. Но Россия есть Россия матушка. У нас везде так.


Чего не знаем то нагуглим
Erik_U
Сообщения: 598
Зарегистрирован: 09 июл 2014, 12:33

05 мар 2018, 14:33

Ваши пакеты "пересекают границу" в l2tp туннеле, используя UDP.
А ESP используется только для шифрования. И уже после "прохождения границы" поэтому в статистике у "пограничников" его нет.


Sertik
Сообщения: 351
Зарегистрирован: 15 сен 2017, 09:03

05 мар 2018, 15:49

То есть еще раз, простите, для "мамочки" ...

Ваши слова означают что при моих настройках на самом деле все правильно работает, все шифруется как надо и мои беспокойства излишни ?
То есть оперируя близким мне языком пациент может не беспокоиться - лечение идет как надо ?

То есть то, что меня интересовало увидеть через файерволл реально нельзя ? Где то мельком я видел какой-то подобный тезис на каком-то форуме ?
Точно реально невозможно увидеть ?

Еще раз спасибо, в данном случае Вы выступили в роли доктора ... Пациенту уже полегчало (немного) ....


Чего не знаем то нагуглим
Ответить