News:

Я всегда буду искать ленивого человека для работы, ведь он найдет много легких путей для решения поставленной задачи. Билл Гейтс

Main Menu

L2TP over IPSec сервер за NAT

Started by ival, 26 September 2016, 15:09

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

ival

Хочу поделиться некоторым опытом.
Какое-то время назад появилась необходимость поднять VPN-сервер с l2tp over IPSec находящийся за МСЭ, В принципе задача понятна и тривиальна, но попахивает извращением и возникло три вопроса:

1. Какие порты пробрасывать?


В интернете есть много информации, но .... по крайней мере я не нашел правильного решения. Есть статьи где предлагают пробрасывать Port 500 UDP, Port 4500 UDP, Port 1701 UDP, protocol 50 (ESP).  Пробросить IKE (500), NAT-T (4500) и l2tp (1701) можно, но как пробросить ESP? Где-то предлагают пробросить IKE, NAT-T и L2TP. В итоге пришлось попытаться разобрать как работает l2tp over IPSec. И вот, что у меня получилось понять:
IKE - протокол обмена ключами. Без него IPSec не соберется. По средством этого протокола происходит согласование и обмен ключами. Пробрасывать нужно (UDP 500)
NAT-T - протокол инкапсулирует IPSec в udp пакеты, что позволяет проходить трафику через NAT. Без этого протокола пакет не дойдет до получателя, а будут потерян на первом же NAT устройстве. Пробрасывать нужно (UDP 4500)
ESP (protocol 50) - протокол обеспечивает шифрование, аутентификацию и целостность. После чтения документации по IPSec, для меня стало не понятно почему на всех форумах указывают его, ведь есть еще протокол AH (protocol 51) и при согласовании, как я понял и выбирается какой из них будет использоваться. Пробрасывать не нужно.
L2TP - протокол туннелирования. Дело в том, что о нем будут знать только конечные узлы туннеля IPSec. Это происходит потому, что труба шифрована. Пробрасывать не нужно

2. На самом МСЭ уже поднят VPN сервер и настроент IPSec site-to-site, что произойдет если я проброшу порты для IPSec через него, не возникнет ли конфликта?

Как оказалось ничего страшного не произойдет. После проброса, по неизвестным мне причинам труба site-to-site работает, а клиенты подбрасываются на сервер VPN за МСЭ

3. Будут ли подключаться клиенты с ОС Windows к VPN серверу за NAT?

Известно, что Windows не дружит с IPSec за NAT, но как оказалось есть статья описывающая это (работает на всех версиях)
https://support.microsoft.com/ru-ru/kb/926179




Уваров А.С.