Telekom VS L2TP over IPSEC (CHAP, MS-CHAP v2)

Hálózatok egyéb

Sziasztok,

valaki talalkozott mar olyan problemaval, hogy adott egy FIX IP -s Telekom -os kabelnet kapcsolat es az L2TP over IPSEC VPN kapcsolatok egyszeruen nem epulnek fel. Ami meg plusz megfuszerezi a dolgot, hogy amennyiben az L2TP felett PAP hitelesitest hasznal a kiszolgalo, ugy igen, ha CHAP vagy MS-CHAP v2 -t akkor nem.

A tuzfalamon (Fortigate) látom a sniffben, hogy acceptel elhagyja a csomagokat az INTERNET fele, a masik oldali sniff -ben is latom a csomagokat, viszont idonkent bedobja, hogy invalid PSK, ami lehetetlen mert atmegyek mobilnetre es ugyanaz a kapcsolati profil hiba nelkul felepul.

WTF?

koszi
FBK

  • 876 megtekintés

( azbest | 2019. 10. 22., k – 12:52 )

nekem működik telekomon
ubuntu 18.04 most épp

a network manager felületen
identity tabon
gateway cím, felhasználó és jelszó

IPsec settings:
pipa az enable IPsec tunner to L2TP hostnál, preshared key megadva,
Advanced: Phase1 Algorithm: 3des-sha1-modp1024 Phase2 algorithm: 3des-sha1

PPP settings:
MSCHAPv2 pipa
Security & compression minden kipipálva és 128-bit (most secure)
mtu 1400 és mru 1400

Annó emlékszem nekem sem ment ipsec alól... valami netoldalon, talán egy amcsi egyetemén találtam ezt a kombinációt. Nélküle olyan módot akarna használni, ami vagy nincs ezen az oldalon vagy inkompatibilis, ezért kell megadni mindent részletesen.

Esetleg azért nem megy neked még, ha nem ez a gond, mert valaki más is l2tp-t használ ugyanazon a netkapcsolaton és amennyire utánanéztem, ebből egyszerre csak egy lehet aktív. Annó egy kollégával közösen dolgozva ugyanazzal az ügyféllel, kénytelenek voltunk egy openwrt routert beüzemelni erre a célra és az osztotta tovább a belső céges netet számunkra.

Ha egyedül te használod a mobilnetet, akkor persze, hogy működik. Ha másik eszköz is használja l2tp-re a telekomos netet, akkor persze, hogy nem működik.

Üzleti fix ip-s céges nettel is jól megy nekem, ha más nem akart l2tp-zni rajta. De az otthoni lakossági, nem natolt csomaggal is megy a telekomon át.

Ha nem osztozol mással a neten, nem az egész cég használja, akkor próbáld ki közvetlenül a gépedet a hgw-be dugva is, hogy kiderüljön, nem a te eszközeiddel van e baj.

Mostanában errefelé sokszor van csomagkiesés az üzleti telekomos netünkkel. Nem derült ki, hogy ez szokása-e vagy helyi jellegzetesség, esetleg a közelmúltbéli fejlesztések mellékhatása.

( mauzi v | 2019. 10. 22., k – 15:51 )

> amennyiben az L2TP felett PAP hitelesitest hasznal a kiszolgalo, ugy igen, ha CHAP vagy MS-CHAP v2 -t akkor nem.

No várj. A teljes L2TP payload-nak IPSec felett kell mennie, tehát, ha az IPSec felállt, akkor a köztes fél nem tudhatja, hogy te a PPP-n belül mivel authentikálsz, csak annyit lát, hogy ESP csomagok jönnek-mennek.

( debtamas88 | 2019. 10. 22., k – 23:59 )

Szia!

FIX IP -s Telekom -os kabelnet kapcsolat

Tehát nem bérelt vonal, hanem van egy "lakossági" előfizetés, aminek a végén egy kábelmodem van (bridge vagy NAT mód?), ami után van a tűzfal.
T-nél nincs olyan hogy kábelnet + fix-ip, nevezzük "feature"-nek hogy adnak fix ip-t :)

Tehát be kell állítani a NAT-T, udp portokat forwardolni a tűzfaladra, ez megvan?

atmegyek mobilnetre es ugyanaz a kapcsolati profil hiba nelkul felepul.

Ezt a fentiek alapján kizártnak tartom hogy működne:
-Mobilneten "Carrier Grade NAT" van, és nincs portforward opció NAT-T-hez sem.

(Azért működhet talán, mert a mobilnet és a kábelmodem más T-routeren megy át, mobilnet T-routere "belső" lábán keresztűl megy el a kábelmodemig így nem NAT-ol, ellenben a másikoldalon megy a NAT).

Mi a megoldás?
SSL VPN

Nem én vagyok a kérdező, de néhány észrevétel:

A fix ip miatt én üzleti előfizetés lehetőségét is nyitvahagytam a korábbi kommentemben. Egyébként a saját lakossági koaxosom ip-je is kvázi fix, csak nem azért, mert erre szerződtem, hanem csak nem cserélgetik.

Off: Nem fejtette ki jobban. Koaxon is szolgáltatlan ilyet, fix ip címet is lehet hozzá rendelni. Más kérdés, hogy például a cégnél, ahol dolgozom, próbáljuk üvegre áttéríteni, de hiába van már meglévő üveg, az valami nagyvállalati egységhez tartozik, így a lakossági és kisvállalati ügyfelekkel foglalkozó részlegek szerint nem létezik. Hihetetlen, hogy több üveg is van több cégtől az épületben és teljes balfaszság jellemző mindre. Másik irodában is ügyfélként találta ki a kolléga, hogy ne az egyik, hanem a másik -keresztutca- nevét mondja. Ha egyik utca, akkor nincs, ha másik akkor van... ugyanaz az épület. Azt hiszem a magyar cégek nem akarnak igazából ügyfeleket. /off.

A mobiletnél attól függ milyen megoldást használ. Nekem is van két simkártyás adatcsomag, mindkettőn publikus ip címmel és mégcsak nem is flotta. Igaz, már újat ebből sem lehet kötni, mert már nem akarnak versenyezni.

Sokszor írjáké l2tp és pptp kapcsán, hogy elavult, problémás... de van, amikor nincs választás, mert az ügyfél diktál, nem fogja lecserélni a "bevált" megoldását azért, mert egy időszakos alvállalkozó nem képes kapcsolódni hozzájuk.

( BBoy v | 2019. 10. 23., sze – 00:25 )

Kísértetiesen hasonló problémám volt egyik kollégám kapcsán, akinek szintén Telekom-os DOCSIS elérése volt otthon. Nekünk a probléma oka csomagvesztés a cégünk IP címe irányába (más IP-ket próbálgatva jónak tűnt a kapcsolat), mintha a cég internetszolgáltatója és a Telekom között valami nem klappolt volna?! Ugyanez volt neki is, hogy mobilnetről ugyanaz a gép vidám csatlakozott a DOCSIS modemen keresztül nem. Persze ezzel egy időben a céghez más szolgáltatóról, mobilnetről simán lehetett csatlakozni a hiba csakis az ő esetében állt fent egyedül!

(Ugyanez a gép, mondjuk egy évvel előtte, ugyanezen a Telekom DOCSIS modem keresztül működött - a cég oldalán sem volt a VPN állítgatva - tehát valószínűleg ott is valami "hálózati karbantartás lehetett")

Én akkor küldtem logot az ügyfélszolgálatnak a ping statisztikáról. Váltig állította a Telekom, hogy náluk minden rendben van és biztos nálunk azzal a géppel van a probléma.

A lényeg az egészben az, hogy rá fél-/egy évvel egyszer csak jó lett minden újra működött az addig nem használható VPN kapcsolat! Tehát eléggé gyanús, hogy valami mégiscsak náluk volt elrontva, csak ezt nem igazán akarták elismerni.

Nem tartom nagyon korrektnek az ilyen hozzáállást egy szolgáltató részéről... :(
Persze nem derült ki, hogy valójában mitől nem ment és azóta nem néztük, hogy a csomagok mennyire vesznek el a kolléga modemje és a cégünk IP-je között...?! De gyanítom, hogy most nincs ezzel gond.