Roman
вот у меня такая схема
стоит в РБ микрот какой-то CCR, выступает в роли l2tp + ipsec сервер
я дома со своего микротика подымаю тунель и заворачиваю нужные сабнеты туда
Roman
ну или могу дефолт роут поднять туда, если хочу всё подряд туда слать
Roman
а какая разница? ведроид умеет в l2tp
Roman
ноутбук тоже
Andrey
+. вот то же самое писал.
что если надо параллельно в схему добавить мт-клиент-юзеров - поставь отдельный микрот. там л2тп с шифрованием и по радиусу авторизацию от сервака с убунту.
ну как вариант
Roman
сложностью
Roman
ну вот и подыми себе l2tp чистый со своим шифрованием и будешь радоваться
Roman
ну почитай что такое Ipsec
фазы его там, стадии
Roman
как оно работает, как его строить, дебажить
Andrey
сервер, наверняка, выполняет много разных задач.
попытки прикрутить туда ipsec кончатся тем, что ты перезапутаешься в правилах файрвола, судорожно соображая в разных слоях
Roman
нахуй он для дома не нужен
Roman
особенно дебажить его, ага
Roman
всё равно, я не понимаю зачем он там тебе нужен
Roman
я понимаю корпоративщики ссуться по ipsec
у них ж там МЕГАВАЖНАЯ ЦЕННАЯ инфа, недайбох расшифруют
Andrey
http://www.lushnikov.net/2014/11/19/ipsec-между-linux-и-mikrotik/
Roman
и ноутбуки и телефоны, сам ж сказал
Roman
«пирог» — VRF-GRE-ISIS-MPLS(LDP)-L2VPN (xconnect)
Roman
агонь
Igor
Roman
с каналми в 2мб
Roman
кто-то может ему расскажет что entropy label по ldp тоже работает
Roman
но это явно задача какая-то для высшего разума
Roman
угу, пусть читает доки))
Andrey
судя по кускам цфг - да.
Roman
как и ты))))
Roman
ну русском нормального ничего не найдешь
Roman
мож даж не пытаться
Roman
а кто и когда их будет структурировать?
Roman
пока курсы сделают оно уже устареет
Andrey
ну попробуй тогда в контейнере и тот и другой с микротом соединить. заодно потестишь, как ключи раздаются для авторизации юзеров.
просто "микрот - много микротов " было бы попроще наверное
(хотя бы в плане всяких тестов, скорости, потерь пакетов - у них удобный инструмент в интерфейсе)
Roman
)))))))))))
Roman
у хуавея кстати неплохие видосы, но на английском
Roman
циско.ком
Roman
тьма документации, тока определись чего хочешь
Roman
rfc читай
структурированей некуда))
Roman
заодно и язык подтянешь
Roman
тут в чате у кого свои блоги\каналы - большинство на английском пишут
Roman
Important information
Network Engineers
Наш канал на youtube
Анонимный опрос по зарплатам сетевых инженеров
Результаты опроса
Блоги участников:
Network Reliability Engineering | @mxssl
NETWORKS FOR EVERYONE | @mxssl
noshut | @hellt
Ntwrk Notes | @Sk1f3r
AboutNet | @veggi
Dmitry Figol | @dmfigol
Каналы участников:
Канал для сетевых инженеров | @mxssl
Мемасы про сети | @mxssl
TT — Terrible Telco | @shemonaev
Сетевые новости | @hellt
byteflow | @Unkledolan
Curious notes | @blademd
Roman
вон тебе ссылки
Anonymous
Народ, привет, я "немного" не девопс, а биздев, но из IT, дайте подтверждение / опровержение моим догадкам:
1) У нас админ настроил VPN, через L2TP (на Микротик роутере), и раздал персональные учётки.
2) Этот Микрот (офисный роутер) подружили тоже IPSec тунелем с удаленным Микрот-роутером - из-за чего IP-PSK (pre-shared key) уже не работает из учетки с workstations
4) Админ разрулил проблему так, что просто отключил IPSec на VPN для юзверей (суть этого vpn была в безопасном соединении с частной сетью и точкой выхода в инет, из небезопасных / публичных сетей в том числе)
5) Насколько я знаю, в L2TP всякие mschap2 и проч, это только безопасный хендшейк, и аутентификация, а все данные не шифрованные и идут as-is, именно потому используется L2TP/IPSec в связке.
Про pptp, openvpn знаю, вопрос именно про сабж.
Насколько наш админ 80-ого уровня? И не вон ли это из профессии?
Anonymous
Пруф нарыл в настройках
Anonymous
Roman
там указывается есть шифрование или нету
Anonymous
там указывается есть шифрование или нету
Коннектится без IPSec настроек, то есть создаю новое соединение, и нигде pre-shared key не указываю
Roman
Anonymous
Там тоже _default encryption_, нигде о psk ни слова
Roman
избирательное зрение?
Anonymous
Use Encryption default
Anonymous
избирательное зрение?
Ты точно понимаешь как L2TP работает? Просто если ipsec нет, то это только хендшейк, данные будут открытые
Roman
Roman
там MPPE
Anonymous
L2TP и L2TP/IPsec
Протокол туннелирования уровня 2, в отличие от других протоколов VPN, не шифрует и не защищает данные. Из-за этого часто используются дополнительные протоколы, в частности IPSec, с помощью которого данные шифруются еще до передачи.
Roman
ссылка откуда инфа?))
Anonymous
Хорошо, зайду с другой стороны
Anonymous
Anonymous
ngrep - аналог tcpflow / tcpdump
Roman
у тебя значит выключено
Anonymous
но можно сканить избирательно по интерфейсу
Roman
хотя, возможно беру свои слова обратно
на счет шифрованности l2tp
Anonymous
Anonymous
если бы я сканил ppp0 = то там бы уже данные были расшифрованы
Roman
в любом случае пробовать включать шифрование на клиентах и сервере
Anonymous
а я сканил сетевой интерфейс (eth)
Anonymous
Короче... шифрования l2tp без ipsec нет да?
Roman
ну вроде как есть MPPE 128
Roman
только я почему-то не вижу где указывается какой уровень выставляется
они ж есть и отличные от 128
Anonymous
Ладно, спасибо, интересно таки понять, скомпроментированы ли мы чуть более, чем полностью или нет
Roman
поставте два микротика :D
Anonymous
MPPE поддерживается далеко не всеми бытовыми маршрутизаторами и, на текущий момент, является частым источником несовместимости оборудования при работе в российских локальных домовых сетях. Например, некоторые из интернет-шлюзов D-Link поддерживают аутентификацию только PAP и CHAP и не поддерживают шифрование MPPE. Такое устройство не сможет пройти аутентификацию на сервере, если в настройках соединения последнего активировано шифрование.
Anonymous
^ Это Вики
Anonymous
У нас половина на Маках... и айфонах...
Roman
ну так поставте второй микротик
Roman
типичный совет :D
Anonymous
поставте два микротика :D
В карман поставить? Они учетки из кафе юзают и в командировках )
Roman
"1) У нас админ настроил VPN, через L2TP (на Микротик роутере), и раздал персональные учётки.
2) Этот Микрот (офисный роутер) подружили тоже IPSec тунелем с удаленным Микрот-роутером - из-за чего IP-PSK (pre-shared key) уже не работает из учетки с workstations
4) Админ разрулил проблему так, что просто отключил IPSec на VPN для юзверей (суть этого vpn была в безопасном соединении с частной сетью и точкой выхода в инет, из небезопасных / публичных сетей в том числе)
"
Anonymous
_из небезопасных, публичных, сетей, в том числе
Roman
ииииии?
Anonymous
Иии при чем тут второй Микротик?
Roman
из-за чего админ вырубил вам ipsec на юзерских соединениях?