Страница 1 из 2
L2tp + Ikev2
Добавлено: 22 июл 2021, 13:37
dr753
День добрый, возник вопрос по настройке связки l2tp + ikev2. Создал сертификаты для клиента и для сервера, клиентский перенес на клиента. Настроил L2tp сервера и клиента в ipsec на обоих концах создал peer и identities (Auth Metod Digital signature) . Как заставить микротик использовать именное IKEV2? Сейчас в свойствах l2tp (На сервере) в поле Use IPsec - requied , соответственно могу подключится как с использование сертификата- IKEV2 так и просто по имени и паролю + IPsec Secret . Необходимо остаdить только возможность
подключения по L2tp + IKEV2
Re: L2tp + Ikev2
Добавлено: 22 июл 2021, 13:57
xvo
В настройках l2tp сервера ipsec отключить.
Re: L2tp + Ikev2
Добавлено: 22 июл 2021, 14:04
dr753
Если в настройках L2TP server не выбрать Use IPsec required то клиент может подключится по имени и паролю (вообще без IPSEC) !
Re: L2tp + Ikev2
Добавлено: 22 июл 2021, 14:07
xvo
dr753 писал(а): ↑22 июл 2021, 14:04
Если в настройках L2TP server не выбрать Use IPsec required то клиент может подключится по имени и паролю (вообще без IPSEC) !
Запретите доступ по 1701 порту, если он без IPSec, в firewall.
Re: L2tp + Ikev2
Добавлено: 22 июл 2021, 14:29
dr753
Не совсем пойму как это сделать
Re: L2tp + Ikev2
Добавлено: 22 июл 2021, 14:31
xvo
/ip firewall filter add action=accept chain=input comment="allow l2tp with ipsec enabled" dst-port=1701 ipsec-policy=in,ipsec protocol=udp
Re: L2tp + Ikev2
Добавлено: 22 июл 2021, 14:57
dr753
В фаерволе
add action=accept chain=input dst-port=500,4500 in-interface-list=Wan protocol=udp
add action=accept chain=input dst-port=1701 in-interface-list=Wan ipsec-policy= in,ipsec protocol=udp
IPsec подымается l2tp нет, такое ощущение что что-то упустил
Re: L2tp + Ikev2
Добавлено: 22 июл 2021, 15:03
xvo
Ещё правило разрешающее протокол 50 (ipsec-esp) нужно.
Re: L2tp + Ikev2
Добавлено: 23 июл 2021, 09:01
dr753
Цепочка iptables на сервере
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=53 in-interface-list=Lan protocol=udp
add action=accept chain=input dst-port=8291 in-interface-list=Lan protocol=tcp
add action=accept chain=input dst-port=500,4500 in-interface-list=Wan protocol=udp
add action=accept chain=input dst-port=1701 in-interface-list=Wan ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input in-interface-list=Wan protocol=ipsec-esp
add action=drop chain=input
На клиенте и на сервере созданы peer и identites (с настройками на IKEV2)
Без сертификатов подключение не проходит.
Проделал следующий эксперимент - Установил подключение с клиента к серверу через IKEV2, на на клиенте mikrotik в PPP-interfaces останавливаю поднятое l2tp (disable) , в ipsec на клиенте отключаю peer и identites (так же disable), Включаю l2tp подключение устанавливается !
Ребутаю mikrotik который выполняет роль сервера, теперь подключение с клиента с отрубленными peer и identites не проходит.
Подскажите почему так ?
Re: L2tp + Ikev2
Добавлено: 23 июл 2021, 09:14
dr753
Как говорится сам сломал сам сделал
add action=accept chain=input connection-state=established,related
В connection tracking UDP соединение ещё не истекло,
поэтому он разрешает подключение.