News:

UNIX не предназначен для ограждения своих пользователей от глупостей, поскольку это оградило бы их и от умных вещей. Дуг Гвин

Main Menu

L2TP over IPSec сервер за NAT

Started by ival, 26 September 2016, 15:09

Previous topic - Next topic

0 Members and 2 Guests are viewing this topic.

ival

Хочу поделиться некоторым опытом.
Какое-то время назад появилась необходимость поднять VPN-сервер с l2tp over IPSec находящийся за МСЭ, В принципе задача понятна и тривиальна, но попахивает извращением и возникло три вопроса:

1. Какие порты пробрасывать?


В интернете есть много информации, но .... по крайней мере я не нашел правильного решения. Есть статьи где предлагают пробрасывать Port 500 UDP, Port 4500 UDP, Port 1701 UDP, protocol 50 (ESP).  Пробросить IKE (500), NAT-T (4500) и l2tp (1701) можно, но как пробросить ESP? Где-то предлагают пробросить IKE, NAT-T и L2TP. В итоге пришлось попытаться разобрать как работает l2tp over IPSec. И вот, что у меня получилось понять:
IKE - протокол обмена ключами. Без него IPSec не соберется. По средством этого протокола происходит согласование и обмен ключами. Пробрасывать нужно (UDP 500)
NAT-T - протокол инкапсулирует IPSec в udp пакеты, что позволяет проходить трафику через NAT. Без этого протокола пакет не дойдет до получателя, а будут потерян на первом же NAT устройстве. Пробрасывать нужно (UDP 4500)
ESP (protocol 50) - протокол обеспечивает шифрование, аутентификацию и целостность. После чтения документации по IPSec, для меня стало не понятно почему на всех форумах указывают его, ведь есть еще протокол AH (protocol 51) и при согласовании, как я понял и выбирается какой из них будет использоваться. Пробрасывать не нужно.
L2TP - протокол туннелирования. Дело в том, что о нем будут знать только конечные узлы туннеля IPSec. Это происходит потому, что труба шифрована. Пробрасывать не нужно

2. На самом МСЭ уже поднят VPN сервер и настроент IPSec site-to-site, что произойдет если я проброшу порты для IPSec через него, не возникнет ли конфликта?

Как оказалось ничего страшного не произойдет. После проброса, по неизвестным мне причинам труба site-to-site работает, а клиенты подбрасываются на сервер VPN за МСЭ

3. Будут ли подключаться клиенты с ОС Windows к VPN серверу за NAT?

Известно, что Windows не дружит с IPSec за NAT, но как оказалось есть статья описывающая это (работает на всех версиях)
https://support.microsoft.com/ru-ru/kb/926179




Уваров А.С.