Всем доброго времени суток.L2TP через IPSEC в Windows прекрасно работает, данные шифруются, ну в общем все пучком.
Однако когда я начал тестировать в Linux через Gnome-network-manager - то заметил что сессия устанавливается и работает без ipsec и какого либо шифрования.Вопрос - можно ли запретить подключения по L2TP без использования ipseс. Желательно без сильных изменений в секции dynamic-map - ещё нужно будет допиливать конфиг под XP клиентов.
Конфиг
vpdn-group 1
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authenticationcrypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key test_key address 0.0.0.0
crypto isakmp nat keepalive 1800
crypto isakmp client configuration address-pool local L2TP
!
!
crypto ipsec transform-set TRANS esp-aes esp-sha-hmac
mode transport
!
!
!
crypto dynamic-map DYNMAP 1
set nat demux
set transform-set TRANS
!
!
crypto map CRYPTOMAP client configuration address respond
crypto map CRYPTOMAP 1 ipsec-isakmp dynamic DYNMAP
interface Virtual-Template1
ip unnumbered Loopback0
no ip route-cache
peer default ip address pool L2TP
ppp authentication ms-chap-v2Подключение с Windows 7
cisco#show vpdn session
L2TP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Username, Intf/ State Last Chg Uniq ID
Vcid, Circuit
43200 1 11879 test_user, Vi2.1 est 00:02:02 22
---------
inbound esp sas:
spi: 0xAABFC518(2864694552)
transform: esp-aes esp-sha-hmac ,
in use settings ={Transport UDP-Encaps, }
conn id: 81, flow_id: Onboard VPN:81, sibling_flags 80000000, crypto map: CRYPTOMAP
sa timing: remaining key lifetime (k/sec): (231966/3584)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x942556D5(2485475029)
transform: esp-aes esp-sha-hmac ,
in use settings ={Transport UDP-Encaps, }
conn id: 82, flow_id: Onboard VPN:82, sibling_flags 80000000, crypto map: CRYPTOMAP
sa timing: remaining key lifetime (k/sec): (232004/3584)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
-----------cisco#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
dst_address srs_address QM_IDLE 2054 ACTIVE-----------
Подключение с использованием Gnome 3 Network-Manager (вроде он использует openswan, не могу сказать точно особо не интересовался)
cisco#show vpdn sessionL2TP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Username, Intf/ State Last Chg Uniq ID
Vcid, Circuit
24803 53405 27554 test_user, Vi2.1 est 00:00:04 23cisco#show crypto ipsec sa --- пусто
cisco#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id statusIPv6 Crypto ISAKMP SA
PS Думал в сторону l2tp security crypto-profile - однако не могу создать профиль, так как существует уже dynamic map.
> Вопрос - можно ли запретить подключения по L2TP без использования ipseс. Желательно
> без сильных изменений в секции dynamic-map - ещё нужно будет допиливать
> конфиг под XP клиентов.Голый L2TP работает по 1701/udp. Запрети его и всех делов.
>> Вопрос - можно ли запретить подключения по L2TP без использования ipseс. Желательно
>> без сильных изменений в секции dynamic-map - ещё нужно будет допиливать
>> конфиг под XP клиентов.
> Голый L2TP работает по 1701/udp. Запрети его и всех делов.Ох, спасибо...
Блин прям обидно что не дошло до меня ! Решение то простое :-)