The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"L2TP IPSEC  Конфуз !"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"L2TP IPSEC  Конфуз !"  +/
Сообщение от inte email(ok) on 23-Янв-14, 15:17 
Всем доброго времени суток.

L2TP через IPSEC в Windows прекрасно работает, данные шифруются, ну в общем все пучком.
Однако когда я начал тестировать в Linux через Gnome-network-manager - то заметил что сессия устанавливается и работает без ipsec и какого либо шифрования.

Вопрос - можно ли запретить подключения по L2TP без использования ipseс. Желательно без сильных изменений в секции dynamic-map - ещё нужно будет допиливать конфиг под XP клиентов.

Конфиг

vpdn-group 1
accept-dialin
  protocol l2tp
  virtual-template 1
no l2tp tunnel authentication

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key test_key address 0.0.0.0        
crypto isakmp nat keepalive 1800
crypto isakmp client configuration address-pool local L2TP
!
!
crypto ipsec transform-set TRANS esp-aes esp-sha-hmac
mode transport
!
!
!
crypto dynamic-map DYNMAP 1
set nat demux
set transform-set TRANS
!
!
crypto map CRYPTOMAP client configuration address respond
crypto map CRYPTOMAP 1 ipsec-isakmp dynamic DYNMAP


interface Virtual-Template1
ip unnumbered Loopback0
no ip route-cache
peer default ip address pool L2TP
ppp authentication ms-chap-v2

Подключение с Windows 7

cisco#show vpdn session                                                              

L2TP Session Information Total tunnels 1 sessions 1

LocID      RemID      TunID      Username, Intf/      State  Last Chg Uniq ID  
                                 Vcid, Circuit                                  
43200      1          11879      test_user, Vi2.1   est    00:02:02 22  


---------
     inbound esp sas:
      spi: 0xAABFC518(2864694552)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Transport UDP-Encaps, }
        conn id: 81, flow_id: Onboard VPN:81, sibling_flags 80000000, crypto map: CRYPTOMAP
        sa timing: remaining key lifetime (k/sec): (231966/3584)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x942556D5(2485475029)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Transport UDP-Encaps, }
        conn id: 82, flow_id: Onboard VPN:82, sibling_flags 80000000, crypto map: CRYPTOMAP
        sa timing: remaining key lifetime (k/sec): (232004/3584)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)
-----------

cisco#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
dst_address    srs_address   QM_IDLE           2054 ACTIVE

-----------


Подключение с использованием Gnome 3 Network-Manager (вроде он использует openswan, не могу сказать точно особо не интересовался)


cisco#show vpdn session

L2TP Session Information Total tunnels 1 sessions 1

LocID      RemID      TunID      Username, Intf/      State  Last Chg Uniq ID  
                                 Vcid, Circuit                                  
24803      53405      27554      test_user, Vi2.1   est    00:00:04 23        

cisco#show crypto ipsec sa --- пусто
cisco#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status

IPv6 Crypto ISAKMP SA


PS Думал в сторону l2tp security crypto-profile - однако не могу создать профиль, так как существует уже dynamic map.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "L2TP IPSEC  Конфуз !"  +/
Сообщение от ShyLion (ok) on 24-Янв-14, 15:02 
> Вопрос - можно ли запретить подключения по L2TP без использования ipseс. Желательно
> без сильных изменений в секции dynamic-map - ещё нужно будет допиливать
> конфиг под XP клиентов.

Голый L2TP работает по 1701/udp. Запрети его и всех делов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "L2TP IPSEC  Конфуз !"  +/
Сообщение от inte email(ok) on 27-Янв-14, 09:58 
>> Вопрос - можно ли запретить подключения по L2TP без использования ipseс. Желательно
>> без сильных изменений в секции dynamic-map - ещё нужно будет допиливать
>> конфиг под XP клиентов.
> Голый L2TP работает по 1701/udp. Запрети его и всех делов.

Ох, спасибо...

Блин прям обидно что не дошло до меня ! Решение то простое :-)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру