Задать вопрос
@bad_dab_bad

IKEv1 + Windows 10 — возможно ли?

Спустя несколько лет вернулся к сетям и опять взорвал себе моск.

Фабула:
Нужно сделать альтернативу OpenVPN для клиентского доступа к внутренней сети и чуть-чуть роутинга вовне.
OpenVPN работает шикарно, но про запас хочется иметь вариант.

Проблема:
В связи с тем, что пользователи у нас довольно ленивые, нужен самый-самый простой вариант.
Самым простым вариантом является любой коннект к VPN через логин/пароль. Максимум PSK. Никаких сертификатов устанавливать не хотят (особенно маководы).
LDAP в виде AD прикручен и тоже работает тут (чтоб не было каши с различными юзер-директориями).

На данный момент:
Сделан банальный IPsec VPN без L2TP., т.е., насколько я понял, это просто IKEv1 с Mobile Clients. На эпплодевайсах(MacOS, iOS) завелся и работает достаточно хорошо.

Винда же принудительно хочет либо IKEv2, либо IPsec/L2TP.

Вопросы:
1. IKEv2 и L2TP не умеют в LDAP, только RADIUS? RADIUS поднимать не хочу, лень.
2. Можно ли к IKEv1 подцепить windows-хосты?
Для общего развития:
3. Насколько вообще безопасно/эффективно/глупо юзать голый IPsec?

Ни разу не сетевик, поэтому буду благодарен за любой совет. Ибо голова уже пухнет от этих всех l2tpipsecike и прочее :)
  • Вопрос задан
  • 759 просмотров
Подписаться 1 Средний Комментировать
Решения вопроса 1
ValdikSS
@ValdikSS
IKE(v1) плохо подходит для удалённого подключения клиентов (сценарий road warrior), он создавался для связи стационарных точек. У него много проблем, много недоработок, вся дополнительная функциональность добавлялась костылями.
Windows не поддерживает обычный IKE без L2TP.

1. IKEv2 и L2TP не умеют в LDAP, только RADIUS? RADIUS поднимать не хочу, лень.
Протоколы поддерживают EAP, в частности, для логина и пароля в Windows используется EAP-MSCHAPv2. Какой бекэнд для аутентификации использовать — зависит только от сервера.
strongSwan не поддерживает LDAP напрямую, но поддерживает RADIUS. Для freeradius есть плагин аутентификации через LDAP.

2. Можно ли к IKEv1 подцепить windows-хосты?
К «чистому» — нет. По крайней мере, не через стандартный Windows-клиент. Возможно, какие-то дополнения от Cisco или других сторонних производителей могут добавить такую возможность, но необходимо устанавливать дополнительно.

3. Насколько вообще безопасно/эффективно/глупо юзать голый IPsec?
IPsec — хороший протокол, но IKEv2 лучше IKEv1 во всём.

Вот здесь приводил пример конфигурации:
https://qna.habr.com/answer?answer_id=2192678#answ...
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
IKEv1 + Windows 10 — возможно ли?

"Искаропки" - нет. Нужно ставить сторонние клиенты, которые давно заброшены, хотя в свое время активно пилились - ShrewSoft, TheGreenBow. Плюсом у них было то, что можно им сунуть текстовик в качестве конфига.
Самым простым вариантом является

инструкция, где по пунктам рапсписано, что сделать, чтобы поставить сертификат. С картинками. С большим количеством картинок - практически комикс. У нас такую инструкцию одолевали все.
Никаких сертификатов устанавливать не хотят (особенно маководы).

на маках как раз (поскольку это все же некий родственник линуха) сертификат поставить - пара пустяков, куда проще чем на винде.
2. Можно ли к IKEv1 подцепить windows-хосты?

Только с помощью стороннего софта, но его за...шься настраивать - а инструктировать юзера, куда ему скинуть текстовик - тоже весело будет. Да и работали они криво.
3. Насколько вообще безопасно/эффективно/глупо юзать голый IPsec?

Безопасно, эфективно и не глупо. IKEv2 и сертификаты решают проблему мобильных юзеров полностью - что на винде, что на андроиде, что на маке.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы