L2tp + Ikev2

Обсуждение оборудования и его настройки
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

День добрый, возник вопрос по настройке связки l2tp + ikev2. Создал сертификаты для клиента и для сервера, клиентский перенес на клиента. Настроил L2tp сервера и клиента в ipsec на обоих концах создал peer и identities (Auth Metod Digital signature) . Как заставить микротик использовать именное IKEV2? Сейчас в свойствах l2tp (На сервере) в поле Use IPsec - requied , соответственно могу подключится как с использование сертификата- IKEV2 так и просто по имени и паролю + IPsec Secret . Необходимо остаdить только возможность
подключения по L2tp + IKEV2

Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В настройках l2tp сервера ipsec отключить.


Telegram: @thexvo
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Если в настройках L2TP server не выбрать Use IPsec required то клиент может подключится по имени и паролю (вообще без IPSEC) !


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

dr753 писал(а): 22 июл 2021, 14:04 Если в настройках L2TP server не выбрать Use IPsec required то клиент может подключится по имени и паролю (вообще без IPSEC) !
Запретите доступ по 1701 порту, если он без IPSec, в firewall.


Telegram: @thexvo
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Не совсем пойму как это сделать


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

/ip firewall filter add action=accept chain=input comment="allow l2tp with ipsec enabled" dst-port=1701 ipsec-policy=in,ipsec protocol=udp


Telegram: @thexvo
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

В фаерволе

add action=accept chain=input dst-port=500,4500 in-interface-list=Wan protocol=udp

add action=accept chain=input dst-port=1701 in-interface-list=Wan ipsec-policy= in,ipsec protocol=udp

IPsec подымается l2tp нет, такое ощущение что что-то упустил
Последний раз редактировалось dr753 22 июл 2021, 15:03, всего редактировалось 1 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ещё правило разрешающее протокол 50 (ipsec-esp) нужно.


Telegram: @thexvo
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Цепочка iptables на сервере

add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=53 in-interface-list=Lan protocol=udp
add action=accept chain=input dst-port=8291 in-interface-list=Lan protocol=tcp
add action=accept chain=input dst-port=500,4500 in-interface-list=Wan protocol=udp
add action=accept chain=input dst-port=1701 in-interface-list=Wan ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input in-interface-list=Wan protocol=ipsec-esp
add action=drop chain=input

На клиенте и на сервере созданы peer и identites (с настройками на IKEV2)
Без сертификатов подключение не проходит.

Проделал следующий эксперимент - Установил подключение с клиента к серверу через IKEV2, на на клиенте mikrotik в PPP-interfaces останавливаю поднятое l2tp (disable) , в ipsec на клиенте отключаю peer и identites (так же disable), Включаю l2tp подключение устанавливается !

Ребутаю mikrotik который выполняет роль сервера, теперь подключение с клиента с отрубленными peer и identites не проходит.

Подскажите почему так ?


dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Как говорится сам сломал сам сделал

add action=accept chain=input connection-state=established,related
В connection tracking UDP соединение ещё не истекло,
поэтому он разрешает подключение.


Закрыто