IKEv1 + Windows 10 — возможно ли?

Question

[bad_dab_bad]

Спустя несколько лет вернулся к сетям и опять взорвал себе моск.

Фабула:
Нужно сделать альтернативу OpenVPN для клиентского доступа к внутренней сети и чуть-чуть роутинга вовне.
OpenVPN работает шикарно, но про запас хочется иметь вариант.

Проблема:
В связи с тем, что пользователи у нас довольно ленивые, нужен самый-самый простой вариант.
Самым простым вариантом является любой коннект к VPN через логин/пароль. Максимум PSK. Никаких сертификатов устанавливать не хотят (особенно маководы).
LDAP в виде AD прикручен и тоже работает тут (чтоб не было каши с различными юзер-директориями).

На данный момент:
Сделан банальный IPsec VPN без L2TP., т.е., насколько я понял, это просто IKEv1 с Mobile Clients. На эпплодевайсах(MacOS, iOS) завелся и работает достаточно хорошо.

Винда же принудительно хочет либо IKEv2, либо IPsec/L2TP.

Вопросы:
1. IKEv2 и L2TP не умеют в LDAP, только RADIUS? RADIUS поднимать не хочу, лень.
2. Можно ли к IKEv1 подцепить windows-хосты?
Для общего развития:
3. Насколько вообще безопасно/эффективно/глупо юзать голый IPsec?

Ни разу не сетевик, поэтому буду благодарен за любой совет. Ибо голова уже пухнет от этих всех l2tpipsecike и прочее :)

Answer 1

[ValdikSS]

IKE(v1) плохо подходит для удалённого подключения клиентов (сценарий road warrior), он создавался для связи стационарных точек. У него много проблем, много недоработок, вся дополнительная функциональность добавлялась костылями.
Windows не поддерживает обычный IKE без L2TP.

1. IKEv2 и L2TP не умеют в LDAP, только RADIUS? RADIUS поднимать не хочу, лень.

Протоколы поддерживают EAP, в частности, для логина и пароля в Windows используется EAP-MSCHAPv2. Какой бекэнд для аутентификации использовать — зависит только от сервера.
strongSwan не поддерживает LDAP напрямую, но поддерживает RADIUS. Для freeradius есть плагин аутентификации через LDAP.

2. Можно ли к IKEv1 подцепить windows-хосты?

К «чистому» — нет. По крайней мере, не через стандартный Windows-клиент. Возможно, какие-то дополнения от Cisco или других сторонних производителей могут добавить такую возможность, но необходимо устанавливать дополнительно.

3. Насколько вообще безопасно/эффективно/глупо юзать голый IPsec?

IPsec — хороший протокол, но IKEv2 лучше IKEv1 во всём.

Вот здесь приводил пример конфигурации:
https://qna.habr.com/answer?answer_id=2192678#answ...

Comments

[bad_dab_bad]

Благодарствую велико, милсдарь!
Стало намного яснее и теперь ясно, что можно не мучать IKEv1 и сразу смотреть в IKEv2.

Забыл написать, что настраиваю я на pfSense это все дело, через гуй )
По факту, для Windows у меня решение готово IKEv2 было, просто пшелл-скрипт с импортом CA да добавлением конфигурации. Эпловоды вот подводят, там сертификат дуже неудобно устанавливать, самому в скрипты-конфиги погружаться сложно, а юзеры слишком важные, чтобы прочитать документацию на полстранички )

За конфиг отдельное спасибо!

Answer 2

[CityCat4]

IKEv1 + Windows 10 — возможно ли?

"Искаропки" - нет. Нужно ставить сторонние клиенты, которые давно заброшены, хотя в свое время активно пилились - ShrewSoft, TheGreenBow. Плюсом у них было то, что можно им сунуть текстовик в качестве конфига.

Самым простым вариантом является

инструкция, где по пунктам рапсписано, что сделать, чтобы поставить сертификат. С картинками. С большим количеством картинок - практически комикс. У нас такую инструкцию одолевали все.

Никаких сертификатов устанавливать не хотят (особенно маководы).

на маках как раз (поскольку это все же некий родственник линуха) сертификат поставить - пара пустяков, куда проще чем на винде.

2. Можно ли к IKEv1 подцепить windows-хосты?

Только с помощью стороннего софта, но его за...шься настраивать - а инструктировать юзера, куда ему скинуть текстовик - тоже весело будет. Да и работали они криво.

3. Насколько вообще безопасно/эффективно/глупо юзать голый IPsec?

Безопасно, эфективно и не глупо. IKEv2 и сертификаты решают проблему мобильных юзеров полностью - что на винде, что на андроиде, что на маке.