К серверу L2TP, настроенному стандартным образом с использованием IPsec (выставляем Use IPsec: YES, придумываем секрет) совершенно ничего не мешает подключиться клиентом с другого Микротика без всякого секрета. Достаточно в настройках клиента тупо убрать галочку с пункта Use IPsec. И соединение прекрасно установится! Только без шифрования.
Пытался найти решение в Интернете, но находится лишь констатация факта - да, всё именно так, ребята! Однако при подключении к L2TP серверу одной известной мне головной конторы фокус не прокатывает. К сожалению узнать, как это настроено из первых рук, не выйдет. Пришел некто, настроил тоннели и растворился в ночи... А доступа к конфигу тамошнего роутера у меня нет и не предвидится.
Но имеем реальный пример - запретить нешифрованное подключение всё таки можно! Хотелось бы услышать варианты от тех, кто уже это делал.
Запретить L2TP без IPpsec
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Ответ в документации. Если настраивать как у вас написано - все так и должно быть.К серверу L2TP, настроенному стандартным образом с использованием IPsec (выставляем Use IPsec: YES, придумываем секрет) совершенно ничего не мешает подключиться клиентом с другого Микротика без всякого секрета. Достаточно в настройках клиента тупо убрать галочку с пункта Use IPsec. И соединение прекрасно установится! Только без шифрования.
1. в настройках L2TP сервера есть 3 варианта использования IPSEC - нет, да, требовать. https://help.mikrotik.com/docs/display/ROS/L2TP
Если выбран параметр «Требовать», сервер будет принимать только те попытки подключения L2TP, которые были инкапсулированы в туннель IPSec.
2. в L2TP с IPSEC сначала устанавливается соединение по IPSEC, а потом, внутри зашифрованного канала происходит авторизация по L2TP.
Соответственно. В Файерволе открываем порты для IPSEC, а для чистого L2TP не открываем. Это "контрольный в голову".
-
BorisB
- Сообщения: 12
- Зарегистрирован: 16 фев 2021, 15:08
Спасибо! Всё оказалось просто, буквально на поверхности. Но меня гложет одно смутное подозрение, что параметр "Требовать" появился в настройках ROS6-L2TP сравнительно недавно. До этого было только два варианта: No и Yes.
P.S. В моей конфигурации с файерволом по умолчанию (который создаёт сам роутер при использовании Quick Set) "контрольный в голову" оказался лишним. Если роутер, выполняющий роль L2TP сервера перезагрузить, соединение не восстановится. При этом IPSec соединение точно работает, проверял. Динамический Peer имеется, Istalled SA в наличии, всё как положено.
P.S. В моей конфигурации с файерволом по умолчанию (который создаёт сам роутер при использовании Quick Set) "контрольный в голову" оказался лишним. Если роутер, выполняющий роль L2TP сервера перезагрузить, соединение не восстановится. При этом IPSec соединение точно работает, проверял. Динамический Peer имеется, Istalled SA в наличии, всё как положено.