MikroTik L2TP/IPSec VPN

Hálózatok általános

Sziasztok!

A következő problémám volna, amit nem értek.

Adott egy LTE-s kapcsolat (Magyar Telekom) mobiltelefonnal. (nem NAT-olt IP cím - egyáltalán nem is tudom, hogy a T-nél mennyire szokás ez mostanság?!) Direktbe nem tudok felcsatlakozni L2TP/IPSec VPN kapcsolattal (Android-os telefon). Viszont, ha egy másik ugyanilyen Android-os telefonnal megosztok egy szintén ugyanilyen LTE-s (Magyar Telekom) netet WiFi-n keresztül, akkor ezen a WiFi-s csatlakozáson keresztül csont nélkül csatlakozik a VPN-re az eredeti készülék is. (Tulajdonképpen még mindig LTE-n vagyunk, csak egy WiFi-s megosztás közbeiktatásával)

Természetesen bármilyen más WiFi hálózat mögül is tökéletesen megy a VPN kapcsolat.
A fentiektől függetlenül néha működik direktbe is (LTE-n keresztül), de igazából még nem jöttem rá, hogy ez mitől lehet?!

Esetleg valakinek van hasonló tapasztalata?
Netalán magyarázata is a jelenségre?!

A válaszokat előre is köszönöm!

  • 7022 megtekintés

( Seaweed | 2016. 07. 19., k – 20:56 )

Nekem is volt T-vel hasonló esetem..ezért hagytam ott őket (ADSL). Itthonról egyszer csak volt 1-2 ugyanilyen vpn amire nem tudtam felmenni..míg másikra igen, vagy pl előbb felmentem egy másik szolgáltatón levő vpn-re azon keresztül a T-n levőre....megelégeltem, váltottam. Időközben, mert T-től megszabadulni se volt egyszerű-bemegyek-kifizetem amit kell és byby...több helyen átálltam openvpn-re hogy tudjak egyáltalán dolgozni, az ment mindig...ami végül is maradt is sok helyen..de ez már másik story.

( mauzi v | 2016. 07. 19., k – 20:00 )

Pár hónappal ezelőtt az volt itt egy topicban a konklúzió, hogy manapság egyedül a Telenor ad olyan konzumer mobilnetet, amihez publikus IP jár. Ezek szerint neked a Telekommal tényleg publikus IP van? (Nem Carrier Grade NAT van 100.64.0.0/10 tartományú, publikusnak "látszó" IP címmel?)

Azon csodálkoznék, ha publikus IP-vel bármi probléma lenne az L2TP/IPSec-kel. Egyébként, már maga a transport módú IPSec kapcsolat sem épül fel? (log?)

Ha NAT van közbeiktatva, akkor az IPSec NAT Traversal miatt egészen más dolog történik a színfalak mögött. A NAT-T alapjaiban véve plusz komplikáció, de ha a Te saját NAT megoldásod "okosabb", mint a Telekomé, akkor lehet, hogy pont előnyödre válik a plusz egy NAT közbeiktatása.

Pár hónappal ezelőtt az volt itt egy topicban a konklúzió, hogy manapság egyedül a Telenor ad olyan konzumer mobilnetet, amihez publikus IP jár. Ezek szerint neked a Telekommal tényleg publikus IP van? (Nem Carrier Grade NAT van 100.64.0.0/10 tartományú, publikusnak "látszó" IP címmel?)

Nem, jelenleg is 188.157.xxx.xxx az IP.

Azon csodálkoznék, ha publikus IP-vel bármi probléma lenne az L2TP/IPSec-kel. Egyébként, már maga a transport módú IPSec kapcsolat sem épül fel? (log?)

Ilyen szintű logot nem nézegettem, mert most nincs rootolva a telefonom, csak azért meg nem fogom. Max a MikroTik oldalról lehetne vizsgálódni, de azt sem néztem még.

Ha NAT van közbeiktatva, akkor az IPSec NAT Traversal miatt egészen más dolog történik a színfalak mögött. A NAT-T alapjaiban véve plusz komplikáció, de ha a Te saját NAT megoldásod "okosabb", mint a Telekomé, akkor lehet, hogy pont előnyödre válik a plusz egy NAT közbeiktatása.

Bármi lehetséges... De az érdekesség az egészben, hogy egy másik MikroTik routerre - azon régebbi RouterOS van - csont nélkül kapcsolódik. Ezen felül egy MS Windows 2012R2 szerverre is csont nélkül kapcsolódik ugyanígy L2TP/IPSec-kel ugyanarról a telefonról, amiről eredetileg próbálnám a másik MikroTik-et.

( dNi | 2016. 07. 20., sze – 01:05 )

En Vodafone-os vagyok es hasonloan jartam veluk. Irtam nekik twitteren es fel ora mulva adtak egy masik APN azonositot amivel mar mukodott csont nelkul minden. Nem tudom hogy nalad is ez a problema, de hatha valakinek meg jol johet :)

---
http://www.vultr.com/?ref=6814182

( akoscomp | 2016. 07. 20., sze – 14:23 )

Nekem Romániában Vodafon hálózaton van hasonló tapasztalatom, de itt többnyire nincs publikus IP. Még nem jöttem rá én sem mitől mehet egyszer és máskor meg nem.

( Proci85 v | 2016. 07. 20., sze – 15:55 )

"nem NAT-olt IP cím - egyáltalán nem is tudom, hogy a T-nél mennyire szokás ez mostanság?!"

Eléggé :)

Mi a cél? Milyen klienseid lesznek? Nem biztos, hogy nyűgös L2TP/IPSec a legjobb, annak fix portjaival.

Ha 2 mikrotik között biztonságos layer2 összeköttetés a cél, és nincs 2 publikus végpontod, akkor javaslom, hogy válassz egy biztos végpontot, ahol tuti publikus IP-d van, az ottani mikrotiken állíts be sstp servert, a többi mikrotik legyen sstp kliens.
Az sstp-k becsatlakoznak, erre pedig eoip -t húzol fel.
Az sstp adja a titkosítást, az eoip a layer 2 -t.

Ha sok okostelefont kell behúzni a hálózatba, szerintem jobban jársz az openvpn-nel.

Nálam így működik, főleg az openvpn része évek óta, gond nélkül.

Eléggé :)

Akkor lehet, hogy most én vagyok a kivétel, mert utóbbi pár napban nézegettem, egyszer sem kaptam belső hálós címet!

Mi a cél? Milyen klienseid lesznek? Nem biztos, hogy nyűgös L2TP/IPSec a legjobb, annak fix portjaival.

Ha 2 mikrotik között biztonságos layer2 összeköttetés a cél, és nincs 2 publikus végpontod, akkor javaslom, hogy válassz egy biztos végpontot, ahol tuti publikus IP-d van, az ottani mikrotiken állíts be sstp servert, a többi mikrotik legyen sstp kliens.
Az sstp-k becsatlakoznak, erre pedig eoip -t húzol fel.
Az sstp adja a titkosítást, az eoip a layer 2 -t.

Nincs ilyen cél, csak klienseket kell csatlakoztatni!

Ha sok okostelefont kell behúzni a hálózatba, szerintem jobban jársz az openvpn-nel.

Okostelefon, laptop, otthoni gép vegyesen.

Nálam így működik, főleg az openvpn része évek óta, gond nélkül.

Be van lőve az OpenVPN, csak az L2TP/IPSec konfigolása kényelmesebb :)
(Félig lustaság, mert amúgy az OpenVPN-nel tökéletesen működik, bárhonnan a rendszer!)

"(Félig lustaság, mert amúgy az OpenVPN-nel tökéletesen működik, bárhonnan a rendszer!)"

Akkor lehet, hogy nem bonyolítanám. Ha a kulcs generálás a nyűgös, megoldás lehet, hogy 1 globális kulcsot csinálsz, mindenkinek kiadod és sql-ben név-jelszó párokat veszel fel. Erre van egy fullos linuxakadémiás oktató anyag is. Ezzel 2 szintű authentikációt valósítasz meg és új userek addolása annyiból áll, hogy sql-ben hozzáadsz egy új sort. Tonna számra lehet így felvenni az usereket és tíltani. Kis ügyességgel azt is ki tudod rakni egy gui -ra, hogy épp ki van fent :)
Én is a kényelmet kerestem, ezért csináltam így.

Igen, ismerem az említett LinuxAkadémiás videót, de még nem jártam utána pontosabban.
Most is kulcs + user/pass az authentikáció, csak teljesen kézi vezérléssel...! (Itt jön képbe a lustaság... :D)

Na majd lehet, hogy kialakítok én is egy ilyen rendszert!

Köszi a tippet! ;-)

A fent linkelt teszt számomra nem releváns.
1) nincs leírva a teszt- ill mérési környezet
2) a teszten CRS (cloud router switch) van említve, ami kb 2011-nek felel meg (csak több portos, és más téren vacakabb)
3) az 1100AH-ban van IPSec accelerator, a CRS-ben tudtommal nincs. ellenben sokkal többet sikerült neki átvinni IPSec-el, mint
nekem 1100AH-val (2-3x annyit)

Ja, 1100AH simán átvisz OpenVPN-el is 100mbps-t, IPSec-el ez 300mbps körül van.
Úgy tűnik, a sima IPSec tényleg gyorsabb majd' minden esetben.

"1100AH simán átvisz OpenVPN-el is 100mbps-t, IPSec-el ez 300mbps körül van."

Nem tudom, hogy tényleg 1100AH akart lenni vagy x2, de ha x2, akkor 900Mbit/s átmegy IPseccel, még úgy is, hogy 2 IPsec (2-2 IP között kihúzva), benne 1-1 terhelés tesztelő iperf "stream", így 2x450Mbit/s.

amikor ezt teszteltem IPSec-el,akkor még csak 1100AH volt.
A 900mbps az titkosít is, tutira?
Ezt azért kérdezem, mert szerintem sem a routing sem az IPSec nem nagyon multithread, és az összes, amit sikerült (overclock-olva) kihozni, az pedig ~1.2gbps volt (~900+300mbps) teljesen alap routing, minden más kikapcsolva.

Igen, titkosít.

Látszódott a tools profiles ipsec alatt a terhelés és az irq -> talitos -nál ami = HW AES encryption.

Iperf tesztekből rész eredmények:

1100AHX2:

ipsec kikapcsolva, 500 sor tűzfal be: 800-920 mbps (auto cpu dobálástól függően) és az 1-es CPU-n a gyorsabb, min 50mbps-sel.

ipsec dedikált cpu-s porton tűzfal nélkül: 940 mbps

2 db rb1100 (egyiken tűzfallal) + 2 ipsec
1. group 1 tunel + 2 végpont
2. group 1 tunel + 2 végpont
405 és 358 mbps átvitel egyszerre ipsec aes128

ugyanez, de tűzfal nélkül:
398 + 420 mbps egyszerre ipsec aes256

RB 3011 tűzfal nélkül:
default ipsec beállításokkal: 84.6 mbps
esp: blowfish-blowfish: 90.9 mbps
esp: blowfish-null: 200 mbps

( naszta v | 2016. 07. 21., cs – 07:44 )

Időnként szoktam T hálózaton 10.*-os IP címet kapni a mobilra (jelemzően 100.*-gal NAT-ol egyébként). Nem lehet, hogy ez akad össze a VPN-es belső hálózatoddal?
--
http://naszta.hu

( biokill | 2016. 09. 29., cs – 08:48 )

Sziasztok!

Nem szerettem volna új témát nyitni, mert elég hasonló a problémám, mint a topiknyitónak.
Adott egy Mikrorik Router, bekonfigolt L2TP IPSEC és mostmár SSTP VPN-el.

Első körben L2TP-t kezdtük el használni, a sebessség miatt (most még kevés kliens, később több lesz). Itt felmerült problémaként hogy egy WAN IP-ről csak egy kliens tud csatlakozni, az új becsatlakozó kvázi kidobatja a régit. Ezt el tudom fogadni, L2TP inkább site-to-site-ra való, mint Road Warriorra. Ezért is üzemeltük be az SSTP-t, ez működik is rendesen.

Új keletű viszont az alábbi probléma:
- adott egy kliens aki UPC netről jön. Úgy nézem nem NAT-olt IP. (Win7 Prof)
- ő L2TP-vel egyáltalán nem tud becsatlakozni (nem baj beállítottam az SSTP-t is neki).
- viszont az SSTP is megszakadozik.

Mi lehet a probléma szerintetek? MTU?
Gondoltam még keep-alive-ra, ezért bedobtam egy batch fájlt, ami percenként pingeti a routert hogy ne szakadjon meg a kapcsolat...
Ti találkoztatok ilyennel? Van valami megoldásotok esetleg?

Hasonló a problémánk a cégnél. Én otthonról UPC-ről nem tudok felcsatlakozni L2TP-vel. Router logjában annyi látható, hogy próbál csatlakozni, de timeouttal elszáll. Kliensoldalon meg azt látom, hogy a szerver nem válaszol. Ami furcsa: hetekkel ezelőtt még ment rendesen, azóta a beállításokban semmi sem változott, most mégsem megy.
Amiért ez számomra felettébb kellemetlen, az az, hogy így nem tudom elérni a céges hálónkat otthonról, mivel legújabb OSX-ből kiszedték a pptp támogatást.
SSTP itt is szakadozik.

Fejlemény van:
- pptp fix 15 percenként megszakad, újra kell csatlakozni minden alkalommal
- sstp ugyanez
- l2tp ipsec szakadás nélkül stabilan megy.

UPC tech support: "náluk nincs semmilyen korlátozás a hálózaton".
Hógyispersze, nyilván azért működött/működik ugyanonnan jól inviteles ADSL-ről meg mobilnetről.