Facebook  -  Twitter      

Questo forum fa uso dei cookie
Questo forum utilizza i cookie per memorizzare i dettagli del tuo login o della tua ultima visita. I cookie sono piccoli files di testo salvati nel computer; i cookie da noi utilizzati sono relativi unicamente ai servizi da noi forniti direttamente o dai banner pubblicitari. I cookie su questo forum salvano inoltre i dettagli relativi alle discussioni lette e alle tue preferenze personali. Sei pregato di selezionare il tasto OKAY se sei consapevole della presenza di questi files e ci autorizzi ad utilizarli per le informazioni specificate.

Indipendentemente dalla tua scelta un cookie verrà salvato per memorizzare nel tuo pc la risposta a questo form. Puoi modificare le impostazioni relative ai cookie nelle preferenze del tuo browser.

  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
Guida VPN L2TP/IPsec

#1
In questa guida vedremo come realizzare una VPN più sicura della PPTP, ovvero la L2TP/IPsec utilizzando routeros.
[hide]
Supponiamo che la ether1 sia l'interfaccia di uscita (WAN), che la nostra rete interna (LAN) sia sulla subnet 192.168.0.0/24 e che il gateway sia 192.168.0.1.

Impostiamo il proxy-arp sull'interfaccia di uscita:
Codice:
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp

Impostiamo il proxy-arp sull'interfaccia interna (supponendo sia la bridge1):
Codice:
/interface ethernet
set [ find default-name=bridge1 ] arp=proxy-arp

Creiamo una nuova proposal IPSEC:
Codice:
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-256-cbc

Creiamo quindi un profilo PPP in cui in local-address è specificato l'indirizzo del gateway e in remote-address l'indirizzo che verrà assegnato all'host che si connetterà alla VPN. In questo caso è stato scelto un solo indirizzo 192.168.0.80, nel caso volessimo che più host si connettano alla VPN al posto di un remote address andremo a inserire un pool di ip:
Codice:
/ppp profile
add change-tcp-mss=yes dns-server=8.8.4.4,8.8.8.8 local-address=192.168.0.1 \
    name="VPN L2TP - IPSEC" only-one=no remote-address=192.168.0.80 \
    use-compression=no use-encryption=yes use-ipv6=no use-mpls=no \
    use-vj-compression=no
set 5 use-compression=no use-ipv6=default use-vj-compression=no

Andiamo in PPP clicchiamo su L2TP Server, spuntiamo enabled poi in Default profile selezioniamo VPN L2TP - IPSEC, infine in authentication mettiamo chap e mschap2.

Apriamo le porte necessarie sul firewall:
Codice:
/ip firewall filter
add chain=input comment="ACCEPT VPN L2TP - IPSEC WAN1" dst-port=1701 \
    in-interface="ether1 - WAN 1" protocol=udp
add chain=input comment="ACCEPT VPN L2TP - IPSEC WAN1" dst-port=500 \
    in-interface="ether1 - WAN 1" protocol=udp
add chain=input comment="ACCEPT VPN L2TP - IPSEC WAN1" dst-port=4500 \
    in-interface="ether1 - WAN 1" protocol=udp

Creiamo un peer ipsec, in secret andrà inserita la password che condivideranno tutti i client della VPN:
Codice:
/ip ipsec peer
add enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-override \
    nat-traversal=yes secret=TUAPASSWORD

Ora invece creiamo l'utente che potrà accedere alla VPN, in name mettiamo quindi l'username e in password la password che sarà univoca per l'utente, diversa quindi dalla password generale:
Codice:
/ppp secret
add name=TUOUSER password=TUAPASSWORD(DIVERSADALL'ALTRA) profile="VPN L2TP - IPSEC" \
    service=l2tp
[/hide]
Cita messaggio

#2
[quote='mannana93' pid='7138' dateline='1396016895']

Creiamo un peer ipsec, in secret andrà inserita la password che condivideranno tutti i client della VPN:
Codice:
/ip ipsec peer
add enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-override \
    nat-traversal=yes secret=TUAPASSWORD

Scusami una domanda, ammetto di non essere esperto di VPN criptate. Cosa mi serve un peer IPSEC? Immagino sia qualcosa di simile alle L2TP di Windows Server. Ma la password? Quando si suppone che debba dargliela, se imposto un client windows 7 o 8??

Poi, nella creazione del profilo ppp la parte "set 5 use-compression=no use-ipv6=default use-vj-compression=no" non corrisponde a nessun profilo sul mio routerboard. A cosa serve?

Grazie Smile
Cita messaggio

#3
In Windows dovrai inserire due password, una per l2tp e una per ipsec, quest'ultima la metterai nelle impostazioni avanzate una volta creato il profilo nel centro connessioni di rete. Per la seconda domanda le compressioni puoi anche lasciarle, è a tua discrezione.
Cita messaggio

#4
(12-10-2014, 22:52)mannana93 Ha scritto: In Windows dovrai inserire due password, una per l2tp e una per ipsec, quest'ultima la metterai nelle impostazioni avanzate una volta creato il profilo nel centro connessioni di rete. Per la seconda domanda le compressioni puoi anche lasciarle, è a tua discrezione.

Grazie di tutto, dopo qualche tempo e un po' di studio, sono riuscito a far funzionare la VPN L2PT.
Poche variazioni sul tema e la creazione di un pool di indirizzi IP da assegnare ai client. Importante è che, una volta aperte le porte e i protocolli necessari, spostare le regole di filtro nel gruppo della catena INPUT della nostra configurazione, ovviamente, prima dell'ultima regola di DROP. Nel mio caso, ho aggiunto la VPN sulla configurazione di default della mia routerboard (RB2011UiAS-2HnD-IN) dove l'interfaccia WAN è ether1-gateway e quella intranet bridge-local. La mia intranet, è sulla classe 192.168.20.0/24 Per chi fosse interessato ecco il listato:


Codice:
# oct/17/2014 16:35:59 by RouterOS 6.20
# software id =
#
/ip firewall filter
add chain=input comment="ACCEPT VPN L2TP - IPSEC WAN1" dst-port=1701 in-interface=ether1-gateway log-prefix=1701- protocol=udp
add chain=input comment="ACCEPT VPN L2TP - IPSEC WAN1" dst-port=4500 in-interface=ether1-gateway log-prefix=4500- protocol=udp
add chain=input comment="ACCEPT VPN L2TP - IPSEC WAN1" dst-port=1723 in-interface=ether1-gateway log-prefix=1723- protocol=tcp
add chain=input comment="ACCEPT VPN L2TP - IPSEC WAN1" dst-port=500 in-interface=ether1-gateway log-prefix=500- protocol=udp
add chain=input in-interface=ether1-gateway log-prefix=GRE- protocol=gre
add chain=input in-interface=ether1-gateway log-prefix=50- protocol=ipsec-esp

Per completezza, ecco l'ordine della catena del firewall.
Codice:
[admin@SID] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1    ;;; ACCEPT VPN L2TP - IPSEC WAN1
      chain=input action=accept protocol=udp in-interface=ether1-gateway dst-port=1701 log=no log-prefix="1701-"

2    ;;; ACCEPT VPN L2TP - IPSEC WAN1
      chain=input action=accept protocol=udp in-interface=ether1-gateway dst-port=4500 log=no log-prefix="4500-"

3    ;;; ACCEPT VPN L2TP - IPSEC WAN1
      chain=input action=accept protocol=tcp in-interface=ether1-gateway dst-port=1723 log=no log-prefix="1723-"

4    ;;; ACCEPT VPN L2TP - IPSEC WAN1
      chain=input action=accept protocol=udp in-interface=ether1-gateway dst-port=500 log=no log-prefix="500-"

5    chain=input action=accept protocol=gre in-interface=ether1-gateway log=no log-prefix="GRE-"

6    chain=input action=accept protocol=ipsec-esp in-interface=ether1-gateway log=no log-prefix="50-"

7    ;;; default configuration
      chain=input action=accept connection-state=established log=no log-prefix=""

8    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

9    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

10    ;;; default configuration
      chain=forward action=accept connection-state=established log=no log-prefix=""

11    ;;; default configuration
      chain=forward action=accept connection-state=related log=no log-prefix=""

12    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

Il resto della configurazione
Codice:
# VPN Casa
/interface ethernet
  set [ find default-name=ether1 ] arp=proxy-arp
  set [ find default-name=bridge-local ] arp=proxy-arp
#
/ip pool
# DHCP sulla intranet = add name=dhcp ranges=192.168.20.1-192.168.20.250
add name=VPNPOOL ranges=192.168.20.50-192.168.20.55

#
/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8,8.4.4.4 local-address=192.168.20.254 name=\
    "VPN L2TP - IPSEC" remote-address=VPNPOOL use-compression=no use-encryption=yes use-mpls=no \
    use-vj-compression=no
#
/interface l2tp-server server
set authentication=chap,mschap2 default-profile="VPN L2TP - IPSEC" enabled=yes
#
/interface l2tp-server server
set authentication=chap,mschap2 default-profile="VPN L2TP - IPSEC" enabled=yes
#
#
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc,aes-256-cbc
#
/ip ipsec peer
add enc-algorithm=des,3des exchange-mode=main-l2tp generate-policy=port-override secret=Segretissimo
#
/ppp secret
add local-address=192.168.20.254 name=MyClient01 password=SuperSegreto profile="VPN L2TP - IPSEC" service=l2tp
Cita messaggio

#5
Il 4 e il 5 codice del primo post danno errore quando li si inserisce in new terminal. Potresti riscriverli?
Inoltre, provando a collegarsi da IPAD con gestore tre e con un S3 vodafone non si collegano per nulla alla routerboard. Potresti darmi una mano nel configurarla? Io ho la wan sulla eth10 della mia
2011Uias RM. Grazie.
Cita messaggio

#6
Possibile che qualche regola del firewall blocchi la connessione in entrata?
Cita messaggio

#7
Eh si, è il firewall che gestisce regole in ingresso e in uscita
Cita messaggio

#8
Io ho applicato le regole che ho trovato sul sito per la programmazione del firewall. Ti allego un export cosi mi puoi dire quale potrebbe essere (l'ipad mi risponde dicendo che il server l2tp non risponde)? Tieni presente che il modem è sulla eth10.

-- codice spostato --
Cita messaggio

#9
Per favore usa i tag CODE quando inserisci delle stringhe da terminale
Cita messaggio

#10
Ecco fatto (potresti dirmi se c'è qualche regola che blocca la VPN L2TP? ):


Codice:
/ip firewall address-list
add address=10.0.2.0/24 list=Home_lan
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it" disabled=yes list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you need this subnet before enable it" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA # Check if you need this subnet before enable it" disabled=yes list=bogons
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 protocol=tcp src-address-list=spammers
add chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add chain=input comment="Accept to established connections" connection-state=established protocol=tcp
add chain=input comment="Accept to related connections" connection-state=related protocol=tcp
add chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" disabled=yes
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
add chain=forward comment="allow established connections" connection-state=established
add chain=forward comment="allow related connections" connection-state=related
add action=drop chain=forward comment="drop invalid connections" connection-state=invalid
add action=drop chain=virus comment="Drop Blaster Worm" dst-port=135-139 protocol=tcp
add action=drop chain=virus comment="Drop Messenger Worm" dst-port=135-139 protocol=udp
add action=drop chain=virus comment="Drop Blaster Worm" dst-port=445 protocol=tcp
add action=drop chain=virus comment="Drop Blaster Worm" dst-port=445 protocol=udp
add action=drop chain=virus comment=________ dst-port=593 protocol=tcp
add action=drop chain=virus comment=________ dst-port=1024-1030 protocol=tcp
add action=drop chain=virus comment="Drop MyDoom" dst-port=1080 protocol=tcp
add action=drop chain=virus comment=________ dst-port=1214 protocol=tcp
add action=drop chain=virus comment="ndm requester" dst-port=1363 protocol=tcp
add action=drop chain=virus comment="ndm server" dst-port=1364 protocol=tcp
add action=drop chain=virus comment="screen cast" dst-port=1368 protocol=tcp
add action=drop chain=virus comment=hromgrafx dst-port=1373 protocol=tcp
add action=drop chain=virus comment=cichlid dst-port=1377 protocol=tcp
add action=drop chain=virus comment=Worm dst-port=1433-1434 protocol=tcp
add action=drop chain=virus comment="Bagle Virus" dst-port=2745 protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" dst-port=2283 protocol=tcp
add action=drop chain=virus comment="Drop Beagle" dst-port=2535 protocol=tcp
add action=drop chain=virus comment="Drop Beagle.C-K" dst-port=2745 protocol=tcp
add action=drop chain=virus comment="Drop MyDoom" dst-port=3127-3128 protocol=tcp
add action=drop chain=virus comment="Drop Backdoor OptixPro" dst-port=3410 protocol=tcp
add action=drop chain=virus comment=Worm dst-port=4444 protocol=tcp
add action=drop chain=virus comment=Worm dst-port=4444 protocol=udp
add action=drop chain=virus comment="Drop Sasser" dst-port=5554 protocol=tcp
add action=drop chain=virus comment="Drop Beagle.B" dst-port=8866 protocol=tcp
add action=drop chain=virus comment="Drop Dabber.A-B" dst-port=9898 protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" dst-port=10000 protocol=tcp
add action=drop chain=virus comment="Drop MyDoom.B" dst-port=10080 protocol=tcp
add action=drop chain=virus comment="Drop NetBus" dst-port=12345 protocol=tcp
add action=drop chain=virus comment="Drop Kuang2" dst-port=17300 protocol=tcp
add action=drop chain=virus comment="Drop SubSeven" dst-port=27374 protocol=tcp
add action=drop chain=virus comment="Drop PhatBot, Agobot, Gaobot" dst-port=65506 protocol=tcp
add action=jump chain=forward comment="jump to the virus chain" jump-target=virus
add chain=forward comment="Allow HTTP" dst-port=80 protocol=tcp
add chain=forward comment="Allow SMTP" dst-port=25 protocol=tcp
add chain=forward comment="allow TCP" protocol=tcp
add chain=forward comment="allow ping" protocol=icmp
add chain=forward comment="allow udp" protocol=udp
add action=drop chain=forward comment="drop everything else"
add action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d chain=input connection-limit=32,32 protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=blocked-addr
add action=jump chain=forward comment="SYN Flood protect" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add chain=SYN-Protect connection-state=new limit=400,5 protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
add action=drop chain=forward comment="\"BLOCK SPAMMERS OR INFECTED USERS\"" dst-port=25 protocol=tcp src-address-list=spammers
add action=add-src-to-address-list address-list=spammers address-list-timeout=1w3d chain=forward comment="\"Detect and add-list SMTP virus or spammers\"" connection-limit=30,32 dst-port=25 limit=50,5 protocol=tcp
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=input comment="VPN L2TP PORTS" connection-state=new dst-port=500,4500,1701 in-interface=ether10 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10 src-address=10.0.2.0/24
add action=dst-nat chain=dstnat comment=Garden_Cam dst-port=88 protocol=tcp to-addresses=10.0.2.14 to-ports=88
Cita messaggio


[-]
Condividi/Segnala (Mostra tutti)
Facebook Linkedin Twitter

Discussioni simili
Discussione Autore Risposte Letto Ultimo messaggio
  Guida al logging delle connessioni con RouterOS mannana93 5 2'560 26-07-2016, 06:50
Ultimo messaggio: kikko
  Guida creazione VPN PPTP con RouterOS mannana93 57 14'683 13-01-2016, 16:47
Ultimo messaggio: kikko
  Guida: Internet Key su RouterOS hamtarociaoo 16 6'382 05-12-2015, 18:20
Ultimo messaggio: nirinny
  Guida: QoS hamtarociaoo 52 13'849 14-11-2015, 08:13
Ultimo messaggio: kikko
  Guida - Condivisione con protoc. SAMBA di un archivio di massa USB collegato alla RouterBoard mannana93 161 17'713 23-07-2015, 14:58
Ultimo messaggio: giallopaperino
  Guida: Creare una rete per gli ospiti hamtarociaoo 22 5'876 14-06-2015, 22:45
Ultimo messaggio: kikko
  Guida: Link a lunga distanza con PPPoE e nstreme hamtarociaoo 10 3'420 22-05-2015, 05:58
Ultimo messaggio: kikko
  Guida: Blocco pubblicità con Web Proxy hamtarociaoo 2 1'226 10-12-2014, 16:11
Ultimo messaggio: hamtarociaoo
  Guida: Sincronizzare l'orologio (tramite NTP) hamtarociaoo 19 3'865 23-10-2014, 21:25
Ultimo messaggio: giallopaperino
  Guida: Aggiornare una RouterBoard senza seriale (RB711-5HN) con Netinstall hamtarociaoo 3 2'472 22-10-2014, 19:17
Ultimo messaggio: kikko

Digg   Delicious   Reddit   Facebook   Twitter   StumbleUpon  


Utenti che stanno guardando questa discussione:
1 Ospite(i)


Powered by MyBB, © 2002-2017 MyBB Group.