Как микротике для l2tp подключения требовать обязательного ipsec?

Question

[shaytan]

Настроил на микротике l2tp сервер и ipsec для него. Обнаружил следующее — если на клиенте (у меня сейчас win10) выбрать опцию "без шифрования", то подключение успешно устанавливается на голом l2tp, без проверки общего секрета и без шифрования. Как заставить микротик требовать у клиентов шифрования ipsec и отказывать при подключении без ipsec?

Answer 1

[Клёвый Админ]

У меня Windows 10 и я не знаю как вы создали L2TP без IPSec =) Без шифрования - это одно, но без IPSec - это немножко другое (там либо сертификат, либо ключ сети).

(в смысле я знаю, про способ через GPO или реестр, но штатно нет))

В моём случае всё стартует только если в l2tp-server включен IPSec, задан ключ для IPSec, создан secret (пользователь с Local и Remote IP) и в proporsal sha1+aes-256 (это все изменения от дефолтных настроек).

Comments

[shaytan]

Напишу по другому :-)
Подключение в win10 создано шатными средствами, конечно есть настройка ipsec. Если я в этом подключении настраиваю "Шифрование данных" как "необязательное (подключиться даже без шифрования)" то полностью игнорируются настройки ipsec. Подключение проходит успешно, даже если я указываю сертификат для ipsec, вместо общего секрета (как настроено на мт). В свойствах такого подключения на мт у меня поле Encoding пусто.
Если я указываю обязательное шифрование, то конечно используется ipsec и шифрование видно в локальных свойствах подключения и на мт.
Мне надо чтобы мт запрещал подключения без шифрования.

[Клёвый Админ]

shaytan: свойство профиля l2tp отвечающее за шифрование у вас как указано в микротике (свойство сервера и пользователя PPP)? то что Use Encryption. У меня стоит в Yes и иные подключения просто не проходят.

[shaytan]

Микротик хитер :-)
Я сейчас переключил в профиле Use Encription на мт из No в положение Yes, а локально, в свойствах соединения, указал использовать сертифика вместо общего секрета (правильно, в моем случае — общий ключ). Соединение установилось как шифрованное MPPE128 вместо ipsec.
Если вернуть общий ключ, то соединение устанавливается как ipsec.
И я снова забыл уточнить — хочется чтобы пропускалось только L2tp/ipsec соединение.
При тестировании, когда переключаю параметры часто и часто переустанавливаю соединения, бывают отказы в подключении или ооочень длинные задержки, но они обходятся просто Flush в Installed Sas на мт.

[Клёвый Админ]

shaytan: у вас какая версия? у меня при указании со стороны клиента сертификата, а со стороны сервера - шифрования происходит отлуп и невозможность соединения. 6.30.4

[Клёвый Админ]

https://yadi.sk/i/E1WMGKBqj8pfK

[Клёвый Админ]

shaytan: может у вас в пирах бардак?

Answer 2

[shaytan]

Евгений Быченко: версия 6,32,1 но на 6,30,4 поведение было такое-же. Если в сервере поставить птичку use ipsec и использовать сгенерированный peers, поведение остается таким-же.

Comments

[Клёвый Админ]

надо дебажить и смотреть логи подключения. Что-то у меня никак не воспроизводится.

[Клёвый Админ]

Евгений Быченко: а как решение можно закрыть 1701 порт, тогда работать будет только по 500-тому (т.е. через IPSec)

Answer 3

[Literis]

Сам долго возился с этой проблемой, решение нашел в фаерволе: добавить правило разрешающее форвард ipsec на vpn интерфейсе и запрещающий не шифрованный трафик. Проблему несанкционированного подключения не решает, однако в случае его осуществления не шифрованный трафик будет дропаться

add action=accept chain=forward in-interface=[vpn интерфейс] ipsec-policy=in,ipsec
add action=drop chain=forward in-interface=[vpn интерфейс] ipsec-policy=in,none