D-Link • Просмотр темы - DFL 1660/FSTEK и l2tp сервер.

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DFL 1660/FSTEK и l2tp сервер.

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 9 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

sem174

Заголовок сообщения: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Ср апр 13, 2016 20:00

Зарегистрирован: Вт дек 04, 2007 16:11
Сообщений: 19

Господа, подскажите как развернуть l2tp over ipsec на dfl 1660/fstek если в прошивке доступно только DES - SHA1 и MD5 ?
Из за того что железка прошла сертификацию ФСТЭК на ней и быть не может таких замечательных возможностей как 3des.
А удаленное подключение нескольким машинам организовать нужно.
Попробовал несколько коммерческих программ для организации l2tp подключения, где можно руками указать что нужно использовать только des и sha1. Но подключится к dfl не удается, на второй стадии аутентификации в логах появляется reason="No proposal chosen".
А вообще реально ли на такой урезанной прошивке развернуть l2tp сервер ?

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Ср апр 13, 2016 20:50

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Если отступление от требований ФСТЭК не критично для организации вцелом и Вашей пятой точки в частности, то скачиваете прошивку WW под свою железку.

Последняя фстек'овская прошивка - 2.27.08 RU
Последняя прошивка с голубым интерфейсом - 2.40 WW, далее изменился внешний вид интерфейса.
Самая свежая на текущий момент прошивка 10.22.01 WW

sem174 писал(а):

А вообще реально ли на такой урезанной прошивке развернуть l2tp сервер ?

Реально. Но только на клиентских машинах нужно понизить уровень шифрования до уровня DES.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

sem174

Заголовок сообщения: Re: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Чт апр 14, 2016 08:47

Зарегистрирован: Вт дек 04, 2007 16:11
Сообщений: 19

MTRX писал(а):

Если отступление от требований ФСТЭК не критично для организации вцелом и Вашей пятой точки в частности, то скачиваете прошивку WW под свою железку.

Критично - мы ОМСУ

MTRX писал(а):

Реально. Но только на клиентских машинах нужно понизить уровень шифрования до уровня DES.

Вот это пробовал, но стандартный виндовый клиент все равно не подключается.

Пробовал вместо PSK использовать самоподписанные сертификаты для подключения, но тоже не выходит. А впн нужен (

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Чт апр 14, 2016 09:10

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Я PPTP до железки с прошивкой 2.27ru поднимал. Работало.
L2TP не пробовал.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

sem174

Заголовок сообщения: Re: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Чт апр 14, 2016 09:15

Зарегистрирован: Вт дек 04, 2007 16:11
Сообщений: 19

MTRX писал(а):

Я PPTP до железки с прошивкой 2.27ru поднимал. Работало.
L2TP не пробовал.

Ясно, спасибо, буду копать, pptp не хотелось, уровень безопасности ниже, но с другой стороны когда l2tp зарезан до уровня pptp разницы никакой.

Вернуться наверх

sem174

Заголовок сообщения: Re: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Чт апр 14, 2016 10:15

Зарегистрирован: Вт дек 04, 2007 16:11
Сообщений: 19

Вот к примеру лог подключения к dfl с помощью NCP Secure Entry Client
Руками включено в профиле подключения DES - SHA

Цитата:

14.04.2016 9:59:06 - IPSec: Start building connection
14.04.2016 9:59:06 - IpsDial: connection time interface choice,LocIpa=192.168.0.22,AdapterIndex=200
14.04.2016 9:59:06 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=(IP DFL Шлюза) : DFL
14.04.2016 9:59:06 - Ike: XMIT_MSG1_AGGRESSIVE - DFL,vpngw=(IP DFL Шлюза):4500
14.04.2016 9:59:06 - Ike: RECV_MSG2_AGGRESSIVE - DFL
14.04.2016 9:59:06 - Ike: IKE phase I: Setting LifeTime to 28800 seconds
14.04.2016 9:59:06 - Ike: IkeSa negotiated with the following properties -
14.04.2016 9:59:06 - IPSec: Final Tunnel EndPoint is=(IP DFL Шлюза)
14.04.2016 9:59:06 - Authentication=PRE_SHARED_KEY,Encryption=DES,Hash=SHA,DHGroup=2,KeyLen=0
14.04.2016 9:59:06 - Ike: DFL ->Support for NAT-T version - 9
14.04.2016 9:59:06 - Ike: XMIT_MSG3_AGGRESSIVE - DFL
14.04.2016 9:59:06 - Ike: IkeSa negotiated with the following properties -
14.04.2016 9:59:06 - Authentication=PRE_SHARED_KEY,Encryption=DES,Hash=SHA,DHGroup=2,KeyLen=0
14.04.2016 9:59:06 - Ike: Turning on DPD mode - DFL
14.04.2016 9:59:06 - Ike: phase1:name(DFL) - connected
14.04.2016 9:59:06 - SUCCESS: IKE phase 1 ready
14.04.2016 9:59:06 - IPSec: Phase1 is Ready,AdapterIndex=200,IkeIndex=12,LocTepIpAdr=192.168.0.22,AltRekey=1
14.04.2016 9:59:07 - IkeCfg: XMIT_IKECFG_REQUEST - DFL
14.04.2016 9:59:07 - IkeCfg: RECV_IKECFG_REPLY - DFL
14.04.2016 9:59:07 - IkeCfg: name <DFL> - enter state open
14.04.2016 9:59:07 - SUCCESS: IkeCfg ready
14.04.2016 9:59:07 - IPSec: Quick Mode is Ready: IkeIndex=12,VpnSrcPort=10954
14.04.2016 9:59:07 - IPSec: Assigned IP Address:IPv4=128.10.10.12,IPv6=0.0.0.0
14.04.2016 9:59:07 - IPSec: Gateway IP Address:IPv4=0.0.0.0,IPv6=0.0.0.0
14.04.2016 9:59:07 - IPSec: Primary DNS Server: 193.58.251.251
14.04.2016 9:59:07 - IPSec: Secondary DNS Server: 0.0.0.0
14.04.2016 9:59:07 - IPSec: Primary WINS Server: 0.0.0.0
14.04.2016 9:59:07 - IPSec: Secondary WINS Server: 0.0.0.0
14.04.2016 9:59:07 - IPSec: Primary NCP SEM Server: 0.0.0.0
14.04.2016 9:59:07 - IPSec: Secondary NCP SEM Server: 0.0.0.0
14.04.2016 9:59:07 - IkeQuick: XMIT_MSG1_QUICK - DFL
14.04.2016 9:59:07 - IkeXauth: RECV_XAUTH_REQUEST
14.04.2016 9:59:07 - IkeXauth: XMIT_XAUTH_REPLY
14.04.2016 9:59:07 - Ike: NOTIFY : DFL : RECEIVED : NO_PROPOSAL_CHOSEN : 14
14.04.2016 9:59:07 - IkeQuick: phase2:name(DFL) - error - received notify error message.
14.04.2016 9:59:07 - ERROR - 4037: IKE(phase2):Waiting for message2, received notify error message. - DFL.
14.04.2016 9:59:07 - IpsDial: From Ikemgr - Remote is denied request for an IPSec SA, AdapterIndex=200
14.04.2016 9:59:07 - IPSec: Disconnected from DFL on channel 1.
14.04.2016 9:59:07 - FW: Deleting pathfinder rules
14.04.2016 9:59:07 - FW: Deleting pathfinder rules
14.04.2016 9:59:07 - FW: Deleting pathfinder rules
14.04.2016 9:59:07 - FW: Deleting pathfinder rules
14.04.2016 9:59:07 - FW: Deleting pathfinder rules
14.04.2016 9:59:07 - FW: Deleting pathfinder rules
14.04.2016 9:59:07 - FW: Deleting pathfinder rules
14.04.2016 9:59:07 - FW: Deleting pathfinder rules

Лог из DFL

Цитата:

2016-04-14
10:08:38 Info IPSEC
1802708

ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xdc839436, AH=0xcfd69bef, IPComp=0xc2fd4ee"
2016-04-14
10:08:38 Notice IPSEC
1800105

ike_delete_notification
local_ip=(IP DFL Шлюза) remote_ip=192.168.0.22 cookies=369483dcef9bd6cfe64efdc2609660e3 reason="Received delete notification"
2016-04-14
10:08:38 Info IPSEC
1803021

ipsec_sa_statistics
done=57 success=0 failed=57
2016-04-14
10:08:38 Warning IPSEC
1800109

ike_quickmode_failed
local_ip=(IP DFL Шлюза) remote_ip=192.168.0.22 cookies=369483dcef9bd6cfe64efdc2609660e3 reason="No proposal chosen"
2016-04-14
10:08:38 Warning IPSEC
1803020

ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2016-04-14
10:08:38 Info IPSEC
1800102

ipsec_event
message=" Remote Proxy ID 128.10.10.13 any"
2016-04-14
10:08:38 Info IPSEC
1800102

ipsec_event
message=" Local Proxy ID 128.10.10.0/26 any"
2016-04-14
10:08:38 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="(IP DFL Шлюза):4500 ID (IP DFL Шлюза)" remote_peer="192.168.0.22:10954 ID 192.168.254.2" initiator_spi="369483dc ef9bd6cf" responder_spi="e64efdc2 609660e3" int_severity=6
2016-04-14
10:08:38 Info IPSEC
1800102

ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2016-04-14
10:08:38 Notice IPSEC
1802300

rule_selection_failed
info="Quick-Mode local ID mismatch" int_severity=6
2016-04-14
10:08:38 Info IPSEC
1803001

failed_to_select_policy_rule
2016-04-14
10:08:38 Warning IPSEC
1800102

ipsec_event
message=" Remote Proxy ID 128.10.10.13 any"
2016-04-14
10:08:38 Warning IPSEC
1800102

ipsec_event
message=" Local Proxy ID 128.10.10.0/26 any"
2016-04-14
10:08:38 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="(IP DFL Шлюза):4500 ID (IP DFL Шлюза)" remote_peer="192.168.0.22:10954 ID 192.168.254.2" initiator_spi="369483dc ef9bd6cf" responder_spi="e64efdc2 609660e3" int_severity=4
2016-04-14
10:08:38 Warning IPSEC
1800102

ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2016-04-14
10:08:38 Info IPSEC
1803024

xauth_exchange_done
statusmsg="Authentication failed"
2016-04-14
10:08:38 Info IPSEC
1803023

config_mode_exchange_event
msg="IP address 128.10.10.13/26 assigned for client"
2016-04-14
10:08:38 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="(IP DFL Шлюза):4500 ID (IP DFL Шлюза)" remote_peer="192.168.0.22:10954 ID 192.168.254.2" initiator_spi="369483dc ef9bd6cf" responder_spi="e64efdc2 609660e3" int_severity=6
2016-04-14
10:08:38 Info IPSEC
1802709

cfgmode_exchange_event
cfgmode=REPLY msg=completed int_severity=6
2016-04-14
10:08:37 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="(IP DFL Шлюза):4500 ID (IP DFL Шлюза)" remote_peer="192.168.0.22:10954 ID 192.168.254.2" initiator_spi="369483dc ef9bd6cf" responder_spi="e64efdc2 609660e3" int_severity=6
2016-04-14
10:08:37 Info IPSEC
1802024

ike_sa_negotiation_completed
options=Responder mode="Aggressive Mode" auth="Pre-shared keys" encryption=des-cbc keysize= hash=sha1 dhgroup=2 bits=1024 lifetime=28800
2016-04-14
10:08:37 Info CONN
600001 IPsecBeforeRules UDP wan1
core 192.168.0.22
(IP DFL Шлюза) 10954
4500 conn_open

Пробовал разные настройки и разные клиенты, но везде одно и тоже первую фазу подключения клиент проходит, вторую фазу нет.

Вернуться наверх

D-Stream

Заголовок сообщения: Re: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Чт апр 14, 2016 18:58

Зарегистрирован: Пн апр 28, 2014 15:38
Сообщений: 219

Гм...

xauth_exchange_done
statusmsg="Authentication failed"
2016-04-14
10:08:38 Info IPSEC
1803023

Вернуться наверх

sem174

Заголовок сообщения: Re: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Пт апр 15, 2016 08:39

Зарегистрирован: Вт дек 04, 2007 16:11
Сообщений: 19

D-Stream писал(а):

Гм...

xauth_exchange_done
statusmsg="Authentication failed"
2016-04-14
10:08:38 Info IPSEC
1803023

xauth у меня вообще выключен, разве может из за него не коннектится ?

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL 1660/FSTEK и l2tp сервер.

Добавлено: Пт апр 15, 2016 09:18

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Тогда бы не запрашивалось при построении тоннеля и на попадало в лог.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

Страница 1 из 1

[ Сообщений: 9 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 302

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения