Какие порты нужны для L2TP IPSec?

Какие порты открыть для L2TP IPSec?

L2TP
Создан в 1999
Порт/ID 1701/UDP,500/UDP(for IKE, to manage encryption keys),4500/UDP(for IPSEC NAT-Traversal mode),50/ESP(for IPSEC),51/AH(for IPSEC)
Назначение протокола построение VPN
Спецификация RFC 2661

Какие порты нужны для L2TP ipsec?

Ipsec нужен UDP-порт 500 + протокол ip 50 и 51 — но вместо этого вы можете использовать NAt-T, для которого нужен UDP-порт 4500. С другой стороны, L2TP использует порт 1701 udp.

Как подключиться по ipsec?

Подключение к VPN-серверу L2TP/IPSec из Windows

  1. В настройках подключения в качестве поставщика услуг VPN выберите «Windows (встроенные)». Задайте имя подключения, например «Домашняя сеть». …
  2. Для установления соединения нажмите кнопку «Подключиться».
  3. Соединение установлено.
  4. Важно!

Какие порты открыть для VPN?

Как настроить VPN сервер с переадресацией портов?

VPN server Port
PPTP TCP 1723, Other 47
OpenVPN UDP 1194
IPSec UDP 500, UDP 4500

Как настроить L2TP на Микротике?

Настройка l2tp туннеля в mikrotik

  1. Создаем профиль для туннеля в PPP -> Profiles.
  2. На остальных вкладках настройки дефолтные. …
  3. Теперь запускаем l2tp сервер. …
  4. Устанавливаем настройки для l2tp сервера. …
  5. VPN сервер настроен. …
  6. Последний штрих.

Какой порт использует протокол L2TP?

Несмотря на то, что L2TP действует наподобие протокола канального уровня модели OSI, на самом деле он является протоколом сеансового уровня и использует зарегистрированный UDP-порт 1701.

На каком уровне работает протокол L2TP?

Layer 2 Tunneling Protocol (L2TP) — это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет.

Как настроить IPsec?

Как настроить Site-to-Site IPSec VPN?

  1. Зайдите в раздел Networking, пункт Edges. …
  2. В интерфейсе NSX Edge переходим во вкладку VPN, далее заходим во вкладку IPsec VPN, затем – в раздел IPsec VPN Sites и жмем +, чтобы добавить новую площадку.
  3. Заполняем необходимые поля: …
  4. Готово.

Как включить IPsec Windows 10?

Настройка машины с Windows 10

Разместите IP-адрес вашего VPN-сервера под именем или адресом сервера. Выберите L2TP/IPSEC с параметром предварительного общего ключа в разделе Тип VPN. Добавьте предварительно общий ключ и имя пользователя и пароль. Свойства безопасности для VPN должны быть изменены под сетевым адаптером.

Как исправить ошибку 789?

Ошибка VPN-подключения 789

  1. Нажимаем два раза левой кнопкой мыши на появившемся параметре и вводим значение – 1, система исчисления значения не имеет.
  2. Нажимем «ОK» и перезагружаем компьютер.

Какие порты использует Windows VPN?

Мы используем несколько протоколов, они работают на разных портах:

  • OpenVPN TCP: 443 порт, он же порт SSL/HTTPS. …
  • OpenVPN UDP: 1194 порт;
  • OpenVPN UDP на серверах в России: 5004 порт, он же RTP. …
  • OpenVPN TCP/TUN: 995 порт. …
  • IKEv2: 500 порт UDP для стандартного подключения, 4500 порт UDP в случае NAT;

Как открыть порт для VPN?

Как узнать свой порт на ПК с Windows

  1. Откройте командную строку
  2. Введите ipconfig.
  3. Далее введите netstat -a, после чего откроется список ваших номеров портов

Какие службы нужны для VPN?

Для работы VPN-подключений необходимо чтобы были запущены 2 службы: Диспетчер подключений удаленного доступа (RasMan) и Служба SSTP (SstpSvc). Если хотя бы одна из этих служб остановлена, то запустите ее. Если тип запуска хотя бы одной из этих служб «Отключена», то измените тип ее запуска на «Вручную».

Как в Микротике создать тоннель?

Создание IPSec VPN туннеля между двумя MikroTik

  1. Создаем IP Tunnel, заходим меню Interfaces и переходим на вкладку IP Tunnel и нажимаем + Name — вбиваем имя туннеля …
  2. Назначаем IP адрес, заходим в меню IP->Addresses и нажимаем + …
  3. Заходим в меню IP->IPsec и на вкладке Policies нажимаем + …
  4. Переходим на вкладку Peers и нажимаем +

Как настроить туннель на Микротике?

MikroTik RouterOS v6. 45.3 с сетевыми настройками:

  1. Зайдите в веб-интерфейс ИКС.
  2. Перейдите в меню Сеть > Провайдеры и сети.
  3. Нажмите кнопку Добавить и выберите Туннели > Туннель IPSec.
  4. В поле Внешний интерфейс выберите провайдера ИКС (в нашем примере он имеет адрес 200.0.0.1).

Как настроить подключение L2TP?

Настройка L2TP VPN на Windows 10

  1. Введите в поиске«Панель управления» и нажмите на первый результат.
  2. Нажмите на кнопку «Сеть и Интернет».
  3. Нажмите на «Сеть и окружение».
  4. Нажмите на кнопку «Настройка нового подключения или сети».
  5. Нажмите на кнопку «Подключение к рабочему месту», а затем «Далее».
  6. Нажмите кнопку «Создать».

Протоколы VPN — PPTP, L2TP, IKEv2, OpenVPN

Протоколы VPN — обзор

В настоящее время существует довольно большое количество протоколов, применяемых для создания VPN-соединений. Какое решение выбрать и на что следует обратить внимание для правильной настройки подключения? Попробуем кратко ответить на эти вопросы.

Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный компанией Cisco Systems для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет — впервые его поддержка была реализована в операционных системах Windows NT 4.0 и Windows 95 OSR2.

В настоящее время PPTP доступен как стандартный протокол VPN почти во всех операционных системах и коммуникационных устройствах, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. Его преимущество также в том, что он использует небольшое количество вычислительных ресурсов, следовательно, обладает высокой скоростью работы.

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Для инициации и управления GRE-соединением используется второе соединение на TCP-порте 1723. Из-за необходимости установления двух сетевых сессий, могут возникнуть сложности при настройке PPTP-соединения за сетевым экраном. Кроме того, некоторые Интернет-провайдеры блокируют GRE-протокол, что делает невозможным использование PPTP.

PPTP опирается на различные методы аутентификации для обеспечения безопасности соединения, наиболее часто среди которых используется MS-CHAP v.2. Данные, передаваемые через PPTP, шифруются с помощью протокола MPPE, включающего в себя алгоритм шифрования RSA RC4 с ключом длиной максимум 128 бит.

За время своего существования, в реализации протокола PPTP были обнаружены различные уязвимости, наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2, позволяющая в течение суток восстановить ключ шифрования. Из-за наличия проблем с безопасностью, протокол PPTP может применяться только в решениях построения VPN, где отсутствуют требования к обеспечению конфиденциальности передаваемых данных.

Плюсы:

  • клиент PPTP встроен во все операционные системы (за исключением последних версий iOS)
  • очень прост в настройке
  • работает быстро

Минусы:

  • небезопасен

Вывод

Протокол PPTP небезопасен, поэтому следует избегать его использования для передачи важных данных. Однако, если VPN применяется только для смены текущего географического местоположения и сокрытия реального IP-адреса, PPTP может быть хорошим решением благодаря своей кроссплатформенности и высокой скорости работы.

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – сетевой протокол, в качестве основы использующий протокол PPP канального уровня. Cоздан в 1999 году компаниями Cisco и Microsoft как дальнейшее развитие протокола PPTP, в настоящее время является промышленным стандартом (RFC2661).

Читайте также  Что такое логин Унк и где его взять?

Так как сам по себе L2TP не обеспечивает шифрование и конфиденциальность трафика, при построении VPN на основе L2TP для обеспечения безопасности передаваемых данных, как правило, используется протокол шифрования IPSec (IP Security). Комбинацию L2TP и IPSec называют L2TP/IPSec (RFC3193).

Для L2TP/IPSec в качестве транспорта применяется протокол UDP, где порт 1701 используется в качестве порта отправителя и получателя для инициализации туннеля, порт UDP-500 применяется для обмена ключами шифрования, порт UDP-4500 для NAT-операций, протокол 50 (ESP) для передачи зашифрованных данных через IPSec.

L2TP/IPsec встроен во все современные операционные системы и коммуникационные устройства, и может быть настроен так же легко, как и PPTP. Некоторые сложности с настройкой могут возникнуть для операционных систем семейства Linux, где может потребоваться установка дополнительных пакетов из состава ОС.

С точки зрения безопасности, VPN-подключения по протоколу L2TP/IPSec являются достаточно надёжными, так как обеспечивают конфиденциальность, целостность и проверку подлинности данных.

По сравнению с другими VPN-протоколами, L2TP/IPSec более «капризный» в плане обеспечения стабильной и надежной работы. Так, если VPN-клиент находится за сетевым устройством, выполняющим преобразование сетевых адресов (NAT), либо не пропускающим пакеты на UDP-порт 500, сеанс L2TP/IPSec установить не удастся. Кроме того, так как L2TP/IPSec инкапсулирует передаваемые данные дважды, это делает его менее эффективным и более медленным, чем другие VPN-протоколы.

Плюсы:

  • высокая безопасность
  • легкость настройки
  • доступен в современных операционных системах

Минусы:

  • работает медленнее, чем другие VPN-протоколы
  • может потребоваться дополнительная настройка роутера

Вывод

Протокол L2TP/IPSec позволяет обеспечить высокую безопасность передаваемых данных, прост в настройке и поддерживается всеми современными операционными системами. Однако, по сравнению с другими VPN-протоколами, является менее производительным и стабильным.

IKEv2

Протокол обмена ключами (Internet Key Exchange) версии 2 — входящий в набор IPSec протокол туннелирования, разработанный совместно компаниями Microsoft и Cisco. Входит в состав Windows 7 и более поздних версий, поддерживается мобильными устройствами Blackberry и Apple. Имеются решения с открытым исходным кодом для Linux.

Передача данных производится через UDP порты 500 и/или 4500, с шифрованием данных криптоалгоритмами 3DES и AES. Использование UDP обеспечивает хорошую скорость работы и не создает проблем для работы за NAT и межсетевыми экранами.

Благодаря ряду своих возможностей, IKEv2 особенно актуален для мобильных пользователей — IKEv2 позволяет автоматически переустанавливать VPN-туннель в случае временного обрыва Интернет-соединения, например во время поездки в метро. Также протокол хорошо восприимчив к частой смене сетей — например переключению между точками Wi-Fi, или между Wi-Fi и мобильной сетью. Это один из немногих протоколов, поддерживаемых устройствами Blackberry.

Плюсы:

  • высокая безопасность и скорость
  • повышенная стабильность работы
  • хорошо подходит для пользователей мобильных устройств
  • легок в настройке на стороне пользователя

Минусы:

  • использует жестко определенные порты, что упрощает его блокировку

Вывод

Благодаря своей безопасности, стабильности и скорости работы, IKEv2 в настоящее время является лучшим решением VPN для мобильных пользователей.

OpenVPN

OpenVPN является полнофункциональным решением с открытым иcходным кодом для организации инфраструктуры VPN на основе библиотеки OpenSSL и протоколов SSL/TLS. Благодаря своей бесплатности и открытости, OpenVPN в настоящее время фактически является стандартом в VPN-технологиях, очень гибким в настройках и с богатыми функциональными возможностями.

В стандартной конфигурации OpenVPN использует для передачи данных UDP протокол и порт 1194. Однако, VPN-соединение может быть легко настроено для работы по протоколу TCP на любом порту, например на 443 TCP-порту, что позволяет маскировать трафик OpenVPN под обычный HTTPS, тем самым обходя блокировки на стороне межсетевых экранов.

Использование в качестве основы библиотеки OpenSSL позволяет обеспечить поддержку множества криптографических алгоритмов (например RSA, AES, Blowfish, 3DES и других) для надежной защиты передаваемых данных. Производительность OpenVPN зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPSec.

Возможность использования протокола TCP позволяет добиться стабильной и надежной работы в беспроводных, сотовых и других сетях с высокой общей нагрузкой и повышенным уровнем потери пакетов. Для увеличения скорости передачи, можно использовать сжатие данных на основе библиотеки LZO.

Для работы с технологией OpenVPN на стороне клиента требуется установка дополнительного программного обеспечения — в настоящий момент для всех современных операционных систем, в том числе и для мобильных платформ, существует большое количество приложений, как бесплатных, так и коммерческих.

Плюсы:

  • гибкость настройки
  • высокая безопасность
  • повышенная стабильность и надежность работы

Минусы:

  • необходима установка дополнительного программного обеспечения

Вывод

На сегодняшний день технология OpenVPN является наилучшим решением для организации VPN. Использование этого протокола позволит обеспечить надежное, быстрое и безопасное VPN-соединение. Настройка подключения не вызывает большой сложности, и фактически сводится к установке бесплатного приложения, доступного для любых платформ и операционных систем.

Подводя итог нашему обзору, коротко обобщим сделанные выводы:

  • PPTP — небезопасный протокол, ваши данные можно перехватить и расшифровать. Можно применять только для смены текущего географического местоположения и сокрытия реального IP-адреса.
  • L2TP/IPSec — имеет приемлемый уровень защиты, удобен в настройке, не требует установки дополнительного программного обеспечения (за исключением Linux), является хорошей альтернативой PPTP.
  • IKEv2 — современный протокол VPN, обладает хорошей безопасностью и скоростью работы. Прекрасно подходит для пользователей мобильных устройств, особенно Blackberry.
  • OpenVPN — имеет открытый исходный код, работает быстро и безопасно. Обладает гибкими настройками, обеспечивает хорошую стабильность работы. Даже несмотря на необходимость установки дополнительного программного обеспечения, на сегодняшний день является лучшим решением для VPN.

Иными словами — при возможности используйте OpenVPN, для мобильных устройств хорошо подойдет IKEv2. Для быстрых решений, когда нужно только скрыть свой IP-адрес — можно ограничиться L2TP/IPSec или PPTP.

Какие порты нужны для L2TP IPSec?

Добрый день.. Встал тут вопрос выбора шлюза для организации, и выбор пал на PfSense 2.2.4-RELEASE (i386).
Конфигурация простая — 2 сетевые карты — одна — внутренняя сеть, вторая — внешняя, куда напрямую втыкается провод от провайдера со статическим IP.

До этого никогда не имел дел с подобным софтом. Выбран он был из за обзоров и отзывов, что можно тут всё быстро почти из коробки настроить.
Быстро удалось настроить только прокси сервер с созданием отчетов и авторизацией по Active Directory, а вот задачу с подключением удалённых пользователей по VPN решить не могу уже третий день. Пробовал OpenVPN и L2TP/IPSec по многочисленным инструкциям. Не соединяется клиент и всё тут.. пишет что удалённый сервер не отвечает.

В итоге я плюнул и решил поднять L2TP сервер на Windows Server.. По внутреннему IP адресу подключается всё нормально, а вот снаружи из интернета снова никак не получается.
Создал в Firewall/NAT правила для каждого из портов, которые участвуют в протоколе L2TP/IPSec

IKE — UDP порт 500
L2TP — UDP порт 1701
IPSec ESP — UDP порт 50
IPSec NAT-T — UDP порт 4500

Вот скриншот проброса портов http://f6.s.qip.ru/14a5VJoPU.png

192.168.175.222 — это внутренний VPN Server

При этом в правилах Firewall для WAN были созданы правила, открывающие на WAN эти порты.. и на всякий случай для проверки был создано правило, открывающее для WAN всё и вся.
http://f5.s.qip.ru/14a5VJoPV.png (Извините, в MS Edge почему то не работают кнопки визуального редактора, в частности вставка изображений)

Читайте также  Какая Разболтовка у Kia Rio?

Но pfsense ни в какую не хочет пробрасывать порты.. И что самое печальное, что нет даже записей по попытках подключиться в Status > System Logs > Firewall

Подскажите пожалуйста, как правильно всётаки пробросить порт? Или может быть поделитесь рабочим мануалом по настройке OpenVPN или L2TP средствами самого pfsense 2.2.4 ?
Требование — чтобы клиенты могли подключаться с Windows/iOS/Android.

Нужен работающий VPN к среде.. один день остался на танцы с бубном.

Но pfsense ни в какую не хочет пробрасывать порты.. И что самое печальное, что нет даже записей по попытках подключиться в Status > System Logs > Firewall

В логе отмечаются
либо пакеты отброшенные, для которых нет разрешающего правила.
либо пакеты, для которых есть такое правило и в нем установлена галочка «Log packets that are handled by this rule»

Тут нужно быть чрезвычайно осторожным, и включать галочку ТОЛЬКО для диагностики и только на время диагностики.
Лог пишется на диск, место может быстро кончится, и всякие такие неприятные вещи начнутся..

На windows server интернет работает?

И работает именно через pFsense (нет ли другого интернет маршрутизатора)?

на windows server правила firewall разрешают принимать соединения L2TP из интернета ?

да. и самое главное — у провайдера natfirewall разрешает такие соединения?
некоторые провайдеры, даже предоставляя белый IP адрес (у тебя же такой, да?) все равно «защищают» клиента своим firewall.

На windows server интернет работает? — Да, Интернет работает

И работает именно через pFsense (нет ли другого интернет маршрутизатора)? — Именно через другой маршрутизатор, Zyxel, в который приходит кабель от резервного провайдера.

на windows server правила firewall разрешают принимать соединения L2TP из интернета ? — Firewall отключен, если подключаться по L2TP на внутренний адрес (192.168.175.222), то все подключается и работает.
да. и самое главное — у провайдера natfirewall разрешает такие соединения? — на 99% уверен, что провайдер ничего не рубит. В другом офисе на этом же провайдере я делал VPN, но без pfsense :)

На windows server интернет работает? — Да, Интернет работает

И работает именно через pFsense (нет ли другого интернет маршрутизатора)? — Именно через другой маршрутизатор, Zyxel, в который приходит кабель от резервного провайдера.

Ну вот. vpn клиент шлет запрос на соединение на адрес pfsense.

(это значит что, клиент ожидает получить ответ именно от этого ip адреса)

pfsense старательно передает запрос на windows server.
windows server радуется, начинает соединение и шлёт ответ.

Но получается так, что ответ уходит через zyxel.

И приходит к vpn клиенту с другого IP адреса. как новое входящее соединение.

Естественно оно отбрасывается

Это будет с любым vpn. OpenVPN, L2TP IPSEC и тд.

Я думаю, самое оптимальное — добавить сетевую карту и оба интернета «принимать» через один pfSense. Тогда все сразу заработает, без дополнительных мучений.

Вот оно что.. Спасибо большое за разъяснения.
Третью сетевую нет возможности воткнуть, а вот шлюз по умолчанию для VPN сервера могу изменить. А сами правила-то я правильно прописал? Должны они работать?

UPD.
В общем, прописал на windows-сервере шлюзом по умолчанию PFSense, но ситуация не изменилась. При попытке подключиться пишет что VPN Сервер не отвечает :((

2 awe007
Мой Вам совет — не ищите себе «приключений».

Если есть возможность — делайте pfsense единственным шлюзом и поднимайте все необходимые Вам сервисы на нем.

Какие порты нужны для L2TP IPSec?

ESP and AH is obligatory to open it or not

For L2TP, yes, you must open ESP and AH.

my firewall support only UDP Or TCP

I don’t understand your statement.

Does that mean your perimeter firewall only supports UDP?

Or does your statement mean that it only supports TCP?

Please clarify.

To add, I’ve never heard of a firewall that only supports either TCP or UDP. All firewalls I am aware of and have worked with, supports both UDP and TCP. And as I said in my previous post, the way you open AH and ESP highly depends on the name brand and model# of your firewall.

Please post your firewall’s name brand, model# and IOS version.

Ace Fekay
MVP, MCT, MCITP/EA, MCTS Windows 2008/R2 & Exchange 2007, Exchange 2010 EA, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP — Directory Services
Technical Blogs & Videos: http://www.delawarecountycomputerconsulting.com/

This post is provided AS-IS with no warranties or guarantees and confers no rights.

  • Proposed as answer by Jeremy_Wu Monday, December 24, 2012 2:51 AM
  • Marked as answer by Jeremy_Wu Tuesday, December 25, 2012 4:50 PM

All replies

We need to open UDP 500 and 4500 in our firewall.

For more details, please refer to:

Configure a Firewall for VPN Traffic

Hope this helps.

Jeremy Wu
TechNet Community Support

  • Proposed as answer by Ace Fekay [MCT] Saturday, December 22, 2012 5:58 AM
  • Marked as answer by Jeremy_Wu Tuesday, December 25, 2012 4:51 PM

To add, these are the ports I usually open depending on the VPN type I am allowing in:

PPTP:
TCP 1723
GRE

About GRE — it’s also known as «protocol ID 47,» but note that this is not a true port #, rather it’s a «protocol number.» To configure it in a firewall, would depend on the brand name and IOS version of the firewall. An older Linksys router calls it «VPN Passthrough,» but it only supports PPTP, unless there was an update that provides it (I’m not 100% familiar with all their versions). A newer Linksys supports both L2TP and PPTP, and referes to it as «L2TP Passthrough,» or «PPTP Passthrough», and this also depends on the model# and versions. A Cisco ASA 5500 series and PIX 50x series, has a built-in service you can choose called «GRE.» Juniper, DLink, NetGear, etc, please consult their docs or online support site.

L2TP:
TCP 1701
UDP 500 — This is for the security association (also called the SA) to negotiate the security method, whether it’s a password, certificate or Kerberos.
AH — Also called Authenticated Headers. This is Protocol ID 50 — and like above, this is not a port, and it depends on your firewall on how to configure it.
ESP — Encapsulated Secure Payload. This is Protocol ID 51 — and like above, this is not a port, and it depends on your firewall on how to configure it.

SSTP:
TCP 443

Direct Access — (DA is not really a VPN, but for this discussion, I’m just posting the port):
TCP 443

Ace Fekay
MVP, MCT, MCITP/EA, MCTS Windows 2008/R2 & Exchange 2007, Exchange 2010 EA, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP — Directory Services
Technical Blogs & Videos: http://www.delawarecountycomputerconsulting.com/

Читайте также  Какие колеса подходят на Ford Fusion?

This post is provided AS-IS with no warranties or guarantees and confers no rights.

Mikrotik: настраиваем L2TP vpn сервер с IPsec

Поговорим о возможности подключения к домашней или офисной сети из вне с помощью протокола L2TP/IPsec.
Для этого используются VPN соединения или туннели.
В рамках данного блога уже рассматривали данную тему:

Раз мы используем Mikrotik в качестве роутера, почему бы его не задействовать?:)
На RouteOS есть возможность использовать различные протоколы для построения VPN сервера:

  1. PPTP
  2. L2TP и L2TP/IPsec
  3. SSTP
  4. OpenVPN

PPTP — в данный момент является небезопасным, так же используется протокол GRE.
Несколько раз встречал сети, где GRE не работал.

L2TP/IPsec — является безопасным, так же «из коробки» его как клиенты поддерживают все (Windows, MacOS, Android и iOs)

SSTP — быстрый и безопасный Windows Only

OpenVPN — хорошая вещь, но требуется установки клиента (7 версия RouteOS вроде даже умеет UDP)

В 7 версии RouteOS добавили WireGuard

Для тестовой конфигурации будет использоваться RouteOS v. 6.47.7 CHR (Cloud Hosted Router).
Установленный на VirtualBox.

Создаем пул адресов для VPN клиентов:

Либо в графическом режиме:
IP->Pool->+
Создаем профиль PPP:

В графическом режиме:
PPP->Profiles->+

Создаем пользователя (кем будем соединяться):

Используйте в имени пользователя строчные символы, т.к. VPN клиент в Windows передает имя строчными символами

В картинках:

PPP->Secrets->+

Включаем L2TP сервер:

Графический вариант:
PPP->Interface->Click L2TP Server

Итак, мы создали:

  1. Пользователя vladimir с паролем: StrongPassword
  2. IPsec общий ключ: marvins

Mikrotik Firewall:

L2TP использует следующие UDP порты:

500 — для обмена ключами шифрования

1701- порт отправителя и получателя для инициализации туннеля

4500 — для NAT-операций

Так же для IPsec используется ESP протокол.

Добавим два правила в файрвол:

Создаем L2TP VPN соединение в windows 10:

В настройке интерфейса my_test укажем нужный нам протокол проверки подлинности:

Соединение:

При слабой IPsec фразе будет предупреждение в Identities:

Suggestion to use stronger pre-shared key or different authentication method

После ее смены на более сильную фразу, типа такой:
LQsFQqabg46O

Предупреждение убирается:

Если у вас есть проблема получения доступа к хостам удаленной сети, обратите внимание на настройку NAT.

Исправляем проблему подключения к L2TP/IPSec VPN серверу за NAT

Столкнулись с интересной проблемой у одного из заказчиков после перенастройки VPN сервера Windows Server 2012 с PPTP на L2TP/ IPSec (из за отключения поддержки PPTP VPN в iOS). Изнутри корпоративной сети VPN клиенты без каких-либо проблем подключаются к VPN серверу, а вот внешние Windows клиенты при попытке установить соединение с L2TP VPN сервером, выдают такую ошибку:

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

В других версиях Windows о наличии аналогичной проблемы могут свидетельствовать ошибки VPN подключения 800, 794 или 809.

Стоит отметить, что данный VPN сервер находится за NAT, а на маршрутизаторе настроен проброс портов, необходимых для работы L2TP:

  • UDP 1701 — Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol(L2TP)
  • UDP 500
  • UDP 4500 NAT-T – IPSec Network Address Translator Traversal
  • Protocol 50 ESP

В правилах Windows Firewall VPN сервера эти порты также открыты. Т.е. используется классическая конфигурация. Для подключения используется встроенный VPN клиент Windows.

VPN ошибка 809 для L2TP/IPSec в Windows за NAT

Как оказалось, проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.

Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NATT, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

  1. Откройте редактор реестра regedit.exe и перейдите в ветку:
    • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
    • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec
  2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;

  • – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
  • 1 – VPN сервер находится за NAT;
  • 2 — и VPN сервер и клиент находятся за NAT.

Set-ItemProperty -Path «HKLM:SYSTEMCurrentControlSetServicesPolicyAgent» -Name «AssumeUDPEncapsulationContextOnSendRule» -Type DWORD -Value 2 –Force;

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT).

L2TP VPN не работает на некоторых Windows компьютерах в локальной сети

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters и перезагрузите компьютре:

  • AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
  • ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)


Для изменения этих параметров реестра достаточно выполнить команды:
reg add «HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters» /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add «HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters» /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10).

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: