Como negar conexões ao xl2tp sem criptografia ipsec?

1

Eu tentei configurar o servidor l2tp + ipsec para meu uso móvel e meu uso de roteador doméstico. Então eu fiz algumas configurações e verifiquei que funciona bem a partir do dispositivo Android. Eu vejo a criptografia no ipsec --status.

Meu sistema é o CentOS Linux versão 7.0.1406 (Core) baseado no Oceano Digital.

Meu problema é que posso me conectar ao servidor L2TP do Mikrotik sem o ipsec.

Então, agora preciso de alguns conselhos:

Como negar a conexão L2TP sem criptografia IPSEC no lado do linux, porque eu posso conectar ao xl2tpd do mikrotik mesmo se o ipsec demon parou.

Como configurar corretamente o mikrotik para conectar ao servidor l2tp + ipsec no modo de transporte ipsec.

Aqui estão as minhas configurações do Linux:

/etc/ppp/options.xl2tpd

require-mschap-v2
ipcp-accept-local
ipcp-accept-remote
ms-dns  8.8.8.8
auth
crtscts
idle 1800
mtu 1310
mru 1310
hide-password
modem
name l2tpd
multilink
lcp-echo-interval 5
lcp-echo-failure 4
proxyarp

/etc/xl2tpd/xl2tpd.conf

[global]
ipsec saref = yes
force userspace = yes
auth file = /etc/ppp/chap-secrets

[lns default]
ip range = 192.168.1.128-192.168.1.254
local ip = 192.168.1.99
refuse chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

/etc/ipsec.conf

config setup
        protostack=netkey
        dumpdir=/var/run/pluto/
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10,%v4:!192.168.250.0/24,%v4:!192.168.$
        keep_alive=1800

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=8
    ikelifetime=8h
    keylife=1h
    type=transport
    left=146.185.XXX.XXX
    leftprotoport=17/%any
    right=%any
    rightprotoport=17/%any
    
por Insspb 23.11.2014 / 20:36

2 respostas

0

Aqui está a parte de trabalho para a configuração de ipsec do Mikrotik no modo de transporte IPSEC:

admin@MikroTik] > /ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 
 0 TX* group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes 

 1     src-address==%MIKROTIK EXTERNAL IP%/32 src-port=any dst-address=%SERVERIP%/32 dst-port=any protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no
       sa-src-address=%MIKROTIK EXTERNAL IP% sa-dst-address=%SERVERIP% proposal=default priority=0 
[admin@MikroTik] > /ip ipsec peer print   
Flags: X - disabled, D - dynamic 
 0    address=%SERVERIP%/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="KEY" generate-policy=no policy-template-group=default 
      exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m 
      dpd-maximum-failures=5 
    
por 24.11.2014 / 13:28
0

Eu postei essa pergunta para a equipe do xl2tpd no GitHub, essa é a resposta (verifiquei e trabalhei na minha configuração):

You can use the iptables policy module like this:

iptables -A INPUT -p udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
iptables -A INPUT -p udp --dport 1701 -j DROP

link

    
por 13.01.2016 / 16:46