L2TP/IPSec VPN server na Win 2k3 iza NAT-a Mikrotik routera
 

Imam plan konfigurirati VPN server na Win 2k3 koji radi sa L2TP/IPSec protokolima, a nalazite će se iza MikroTika koji je adsl router i zbog toga trebam iskonfigurirati NAT za VPN server. Možda zvući malo mazohistički :D i nepotrebno to raditi za kućni LAN, ali često mi treba neki fajlić koji mi je doma na kompu i znate one "Marfijeve" :-) zakone baš tog fajla tada nemam na lapu. Volio bih da mogu sigurno onda VPN-om na komp po to što mi treba.

Već sam krenuo u realizaciju te ideje i uspješno sam konfigurirao PPTP VPN Server i tako sve šljaka, ali htio bih konfigurirati L2TP/IPSec. Znam da Microsoft ne preporučuje L2TP/IPSec VPN server iza NAT-a, ali očito su i oni svjesni da je to često želja ljudi pa su Win 2k3 "osposobili" za NAT-T, a i WinXP se može uredno spojiti na L2TP/IPSec VPN server iza NAT-a (tako barem oni kažu).

Molio bih mrežne gurue ovdje da mi pomognu kojim hintom u realizaciji ove moje ideje.
Ja sam pokušao ovako:

dolazni promet sa internet interfacea:
1.) dst-nat sam UDP destination port 500 na lokalnu IP adresu VPN servera port 500
2.) dst-nat sam UDP destination port 4500 na lokalnu IP adresu VPN servera port 4500
3.) dst-nat sam IP protocol 50 na lokalnu IP adresu VPN servera

odlazni promet forward dopustio sam:
1.) UDP source port 500 sa lokalne IP adresu VPN servera
2.) UDP source port 4500 sa lokalne IP adresu VPN servera
3.) IP protocol 50 sa lokalne IP adresu VPN servera

Naravno:D, nešto mi ne štima, izgleda da NAT "lomi" pakete i ne prolazi mi autentifikacija - dolazi nakon nekog vremena do time-outa. U lokalnoj mreži mi sve uredno radi, tako da sam vrlo siguran da je neka zbrka kod tog NAT-a.

Win 2k3 VPN server je defaultna konfiguracija, onako kroz wizard, i ima static filtering na interfaceu na kojeg ulazi VPN konekcija.

Da li netko ima kakv hint i da li možda ima neka caka da treba nekako odobriti NAT-T sposobnost u Win 2k3 ili je to po defaultu omogućeno?

TNX svima na idejama!

A da ne pretjeravaš malo po pitanju sigurnosti? Ajde da se radi o tvrtki gdje preko VPN-a radi 300 korisnika istovremeno na nekim novčanima transakcijama.
:D

Biti će da je prije promijenjeno ponašanje IPsec NAT traversal-a na Windows XP, poslije SP2. Što će reć da je možda problem sa klijentske strane. MS preporuča malo črčkanja po registry-ju.

http://support.microsoft.com/kb/885407/ kaže:

To allow an IPsec NAT-T initiator to connect to a responder that is located behind a NAT, you must create and set the AssumeUDPEncapsulationContextOnSendRule registry value on the initiator.

Note Before you configure this registry value, we recommend that you contact your network administrator or read your corporate security policy.

To create and configure the AssumeUDPEncapsulationContextOnSendRule registry value, follow these steps:

1.	Click Start, click Run, type regedit, and then click OK.
2.	Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
3.	On the Edit menu, point to New, and then click DWORD Value.
4.	In the New Value #1 box, type AssumeUDPEncapsulationContextOnSendRule, and then press ENTER. Important This value name is case sensitive.
5.	Right-click AssumeUDPEncapsulationContextOnSendRule, and then click Modify.
6.	In the Value data box, type one of the following values: • 0 (default) A value of 0 (zero) configures Windows XP SP2 so that it cannot initiate IPsec-secured communications with responders that are located behind network address translators. • 1 A value of 1 configures Windows XP SP2 so that it can initiate IPsec-secured communications with responders that are located behind network address translators. • 2 A value of 2 configures Windows XP SP2 so that it can initiate IPsec-secured communications when both the initiators and the responders are behind network address translators. Note This is the behavior of IPsec NAT-T in Windows XP without service packs installed and in Windows XP SP1.
7.	Click OK, and then quit Registry Editor.
8.	Restart the computer. Znači tebi treba 1 ili 2, ovisno o tome kako se spajaš na net sa lap-om.

IPsec ESP header (IP protokol 50) je enkapsuliran u UDP port 4500 headeru, a isto tako i UDP 1701, tako da ovo u biti nije potrebno proslijeđivati na NAT-u. Ali kažu da bi trebalo ako je firewall ili nekakav filter na samom endpointu. No već kad otvaraš, onda otvori i UDP 1701, on je baš odgovoran za otvaranje i održavanje L2TP kanala.

Hvala na pametnom savjetu. Nije do toga jer to imam postavljeno na 2 da može u bilo kojem slučaju, i kad je samo server iza NATa i kad su i client i server iza NATa.

Ima li možda što u win 2k3 serveru što treba modificirati?

probao sam i udp 1701 jer sam to vidio u static filteringu na win 2k3, ali niš.

Pa baš me je to malo zbunjivalo, iz onoga što piše pod vrijednošću 2 dalo bi se zaključiti da to ne vrijedi u oba slučaja, već samo kada su i inicijator veze i server iza NAT-a. Jesi li probao sa 1?

U svim knigama piše da nije potrebno ništa modificirati na serveru.

Da, vidiš, nisam probao sa 1. Ja sam se isto dosta dvoumio šta im znači onaj opis za 2. Ja sam shvatio da je to i u jednom i u drugom slučaju. Možda si ti točno rekao da je to samo kada su obje strane iza NAT-a. Ja sam testirao sa dial-up modemom pa ako je točna tvoja pretpostavka onda je logično da nije radilo. Sutra ću probat sa 1 u registryu pa javim.

Jesi li mislio na ovu knjigu?:D:D
http://www.imagesforme.com/thumbs/3302uuu.jpg

Ne! To je ipak malo manje od "sve". :D :D

Evo, na žalost, ne radi ni sa postavkom 1 u registryu clienta (Win XP SP2), a to bi svakako trebalo ako je Microsoft u pravu, jer sam testirao sa klijenta koji ima public IP adresu preko dial-up modema.

dst-NAT sam: udp port 500, udp port 4500, udp port 1701, IP protocol 50
dopustio sam iste te protokole i portove za izlazak preko internet interfacea
I ništa.

Gledao sam promet u MikroTiku i samo mi ide promet preko udp porta 500 u oba smjera - i prema serveru i sa servera prema van. Pretpostavljam da je to inicijalno spajanje, ali nakon toga očito nešto se zbrčka kod NAT-a i ne prolazi autentifikacija te nema daljnjeg prometa preko drugih portova i protokola. Također vidio sam da MikroTik nije ništa blokirao od prometa koji ide sa servera prema van, tako da sam dosta uvjeren da je neka frka s NAT-om i promjenom paketa u tom procesu, a nemam ideju što probati.

Ima li kakva još ideja? TNX!

samo jedno pitanje, zašto se mučiš s time (mislim hvalevrijedan trud) ima daleko jednostavnijih rješenja.

tipa ssh server iza nat-a, pa fino tuneliraš taj-i-taj port koji ti treba preko putty-a.

na taj način imaš samo port 22 otvoren i sve što ti treba otvaraš kroz ssh(2).

point-to-point IPsec server se radi kad imaš x road warriora koji svi trebaju jednostavan način da dođu do interne mreže, ako si jedino ti taj koji pristupa mreži iza NAT-a, ne vidim čemu sve to (osim ako ti nije baš gušt razbijati glavu oko toga kao što meni dođe nekad).

A da probas radje sa pptp-om isti shit drugo pakovanje, stavis samo fowardovanje GRE protokola i TCP 1723.

To bi onda valjda značilo da IPSEC NAT-T na ne prolazi.

Da li ti je IPSEC iskonfiguriran u group policy-ju, to jest da li ti je naštelan na server (request security) ili server (require security). Tu se naštimava i vrsta autentifikacije (Kerberos v5 protocol, PKI certificate, ili preshared key)? Da li su ti na notebooku i serveru uključeni IPSEC Services? Kakvu autentifikaciju si koristio za IPSEC, certifikate, kako si naštelao klijente? Svašta može biti.



Zar Mikrotik nema u sebi ugrađen VPN server i klijent (među ostalim i IPSEC/L2TP), da ga tu možda nešto ne zbunjuje. Možda ako ne uspiješ ovako, zašto ne pokušaš Mikrotik postaviti kao vpn server?



I što ti znači ovo:

Kakav je to "forward" odlaznog prometa? Jasno mi je da na navedenim portovima kod ulaznog prometa forwardiraš promet na adresu VPN servera. U obratnom slučaju nema forwarda. Da li u odlaznom filtru postoji mogućnost unosa subnet mask-a. Ajde probaj skroz otvoriti izlazni promet sa vpn servera.

Slažem se, ja bi se osim toga svakako potrudio napraviti IPSEC/L2TP VPN kada bi radio site-to-site VPN. Za pojedinačni pristup sasvim zadovoljava PPTP. Ali pak ako je glad za znanjem u pitanju, onda sasvim podržavam. :D

A nije baš IPSEC i PPTP isti shit...

Istina, cca 95% toga je da probam (i nadam se jednog lijepog dana uspijem:D) napraviti i naučiti nešto što i nije baš mačji kašalj. Ostalih 5% toga je moja želja da kad već nešto takvoga radim da bude na nekom relativno zadovoljavajućem nivou sigurnosti pa iz tog razloga L2TP/IPSec i da ga mogu koristiti i moji ukučani (tata i seka) jer i njima bi takvo što ponekad dobro došlo. Stari radi puno toga doma na kompu pa da nemora uvijek sve furati na externom HDD-u:D ili lapu.

To sam probao (napisao sam u prvom postu na vrhu) i uspijeva mi bez beda ali nisam se time zadovoljio jer PPTP nema enkripcije u sebi, pa bi iz tog razloga htio L2TP/IPSec. Moram štiti svoju malu ali slatku mrežicu.:D

Taj dio mi baš nije jača strana. Nisam do sada ništa štimao manualno u group policyu već sam sve testirao sa defaultnim postavkama. Možda ima koja sugestija?

Ja sam se odlučio za preshared key i u propertisima servera stavio kvačicu na to da enableam tu opciju i upisao sam onda key.

Jesu po defaultu. Nisam ih gasio.
preshared key

Ah, da, znam da svašta može biti i to me najviše i gnjavi i brine.:D:lol2:
Na što si to mislio kod klijenta? U win XP se baš i nema nešto previše za štimati u postvkama konekcije.



Da, u pravu si MT ima opcije L2TP servera i pokušao sam nešto s time ali sam odustao jer ma zaje????alo s postavljanjem IPSeca i preshared key. Nisam to skužio kako dobro riješiti, a u windozama je to nekako standardno više GUI riješeno, što naravno nije dobro za ovakve stvari:D, ali eto krenuo sam da to napravim na Win 2k3. Ako ne uspije ovo, probati ću opet s MT-om.


MikroTik ono što prolazi kroz njega naziva forward, a to se meni odnosi znači na sve ono što ide od servera kroz MT prema internetu. Ja sam blokirao sav izlaz sa servra izuzev što sam mu dopusti izlaz na DNS servre i ove protokole koji mi trebaju za VPN. U tom smislu sam rekao da sam dopustio forward tih protokola. Kod ulaznog prometa sam pak dstNAT-ao promet koji mi treba za VPN prema lokalnoj IP adresi VPN servera.


Kako kazah, da najviše je to, kao gotovo i uvijek:goood:

Da, vrlo je različita razina sigurnosti koju pružaju.

krivo stari, PPTP možeš enkriptirati (sve iz windoza) i koliko ja znam još nije probijena zaštita.

Ovisi iz koje razine korisničke perspektive gledaš. To ništa previše, možda je za nekoga previše.
:D
Pa mislio sam konkretno na karticu "security".

Ovo baš i nije točno. PPTP ima enkripciju, koristi tzv. RAS "shared secret" enkripcijski postupak. S time da je taj "shared secret" u ovom slučaju password. Naravno da PPTP ima svoje mane, i rupe, ali opet za pojedinačni pristup sa udaljene lokacije sasvim dovoljan.

Na šta sam ja mislio pod enkripcija:
Microsoft kaže:D: "With PPTP, data encryption begins after the PPP connection process (and, therefore, PPP authentication) is completed. With L2TP/IPSec, data encryption begins before the PPP connection process."
Reference: http://www.microsoft.com/technet/com...uy/cg0801.mspx
To bi u biti značilo (ukoliko ja dobro razumijem) da meni username i password s klijenta do servera inicijalno putuje bez enkripcije i onda tek kada se konekcija uspostavi počinje enkripcija podataka, a PPTP konekciju ostvarujem samo s uer i pass od windoza pa mi se to ne čini baš snažna zaštita i zato sam mislio potruditi se sa L2TP/IPSec. Tu je još i preshared key ili cert.

Da, da, nisam razmišljao na taj način:D. Sve mi je jasno.

sorry, neda mi se citati cijelu raspravu, samo da pitam, kaj nije jednostavnije napraviti da se spajas na MikroTik nego na Win?

Nema frke, svako čita koliko hoće.
Probao sam prvo sa spajanjem na MT, ali su mi se stvari zakomplicirale sa preshared key (IKE) pa sam trenutno na ideji da bude Win 2k3 VPN server. Vidjet ćemo koliko će još trajati ta ideja. Kako idu stvari, izgleda da neće dugo...:gringo:

Ne, to znači da enkripcija podataka odnosno enkriptirani podatkovni "tunel" kod IPSECA počinje već prije ostvarivanja PPP konekcije odnosno autentifikacije, a da kod PPTP počinje nakon PPP konekcije odnosno autentifikacije. I to zbog toga što se kod L2TP/IPSEC VPN-a prvo autentificira stroj. Za L2TP/IPSEC VPN to znači da se sama autentifikacija odvija u već uspostavljenom VPN tunelu. Za PPTP, to ne znači da ti password putuje mrežom u nekriptiranom obliku i da je autentifikacija nekriptirana, osim ako ne koristiš PAP, odnosno:


PPTP VPN po defaultu koristi MSCHAP, što prema MS znači (za MSCHAP v.2):


Dakle, kod MSCHAP-a inicijalno klijent šalje samo zahtjev serveru, a on mu natrag šalje "izazov" (challenge) sa session id i challenge string, pa se tek onda oni "rukuju" itd...

Deploying Virtual Private Networks with Microsoft Windows Server 2003 / Joe Davies, Elliot Lewis. MSPress.

Naravno da PPTP ima svoje sigurnosne rupe, i što se tiče MSCHAP-a i što se tiče same MPPE enkripcije podataka. Ali, koja tehnologija nema? MS je u više navrata i krpao te rupe. No opet, za pojedinačni pristup se rijetko koristi L2TP/IPSec.

Al' sam se raspisao...:D

Onda još ako na notebooku imaš fingerprint scanner kao ja na svom HP-u, možeš iskoristiti EAP. Pa onda nek ti neko probije i lozinku i biometrijske podatke, kako bi došao do esencijalnih podataka od nacionalne sigurnosti koji se nalaze na tvom LAN-u.
:D

Probaj ovo: otvori group policy editor klijentskoga računala (Start -> Run -> gpedit.msc), pod Windows settings-> Security-> IP Security Policies možda trebalo na stavci "Client" desnim klikom odabrati Assign i odabrati iste postavke kao i na serveru što se tiče enkripcije itd... Pretpostavljam da ako napraviš Active Directory domain, i uključiš notebook u njega, ovo nije potrebno jer će ti u tom slučaju notebook povući default policy sa servera. U slučaju da ti računalo nije u AD domain nisam baš siguran da IPSEC ide bez ikakvog naštelavanja. Po rezultatima kontrole prometa vidi se da uopće nije došlo do uspostave IPSEC tunela.

Da, jesi, ali hvala lijepa na info. Ovo mi je koristilo.

Nemoj dalje, da se ne uvrijedim:D...:lol2:

Nije mi na domeni lap jer je Win XP Home na njemu.

Uf, zakompliciralo se sve ovo skupa. Gotovo da i ne znam od kud dalje krenuti.
Ovo što govoriš za neuspješnu uspostavu tunela, da jedino je promet išao na udp 500 prema serveru i od servera. i ništa drugo osim toga.

Ok, evo kako stvari stoje. Pa i ne baš previše dobro, za početak.:lol2:

Uglavnom, odustao sam 100,01% od ideje da Win 2k3 bude L2TP/IPSEc VPN server iza NAT-a jer to izgleda NE IDE. Izgleda da Microsoft laprda bez veze, al nisam 100% siguran pa neću tvrditi. Možda je nekome nekada uspjelo. Meni nikako i nikada i neću više ni pokušavati.
Odlučio sam probati sa MikroTik-om kao VPN L2TP/IPSEc serverom jer s njim neće biti NAT-a jer ima publice IP adresu. Ali da sve ne bi bilo savršeno upao sam u probleme s konfiguracijom IPSec-a uz preshared key.
Ima li možda netko tko je uspio MT-a natjerati da radi kao L2TP/IPSec VPN server, a da je klijent WinXP SP2?? Molio bih pomoć oko konfiguracije IPSec-a. Mislim da sam L2TP server uspješno konfigurirao i bilo je vrlo lako čini mi se, ali IPSec me kolje totalno. Molim ako netko ima iskustvo i znanje za pomoć oko toga. tnx!!!