rolf14
Goto Top

Mikrotik L2TP IPSec ausschlieslich über Schlüssel

Hallo Freunde,

ich habe hier einen Mikrotik Router. Alles was ich soweit konfiguriert habe funktioniert. Ich baue VPN Verbindungen via L2TP/IPSec auf.
Mit dem IPSec Schlüssel klappt auch alles und alles ist gut.
Wenn man bei dem Verbindungsaufbau nen falschen Schlüssel angibt kommt ein Fehler und es geht nicht. ( So wie es sein soll )

Wenn man jedoch beim Client ( z.b. Windows 10 ) in den Einstellungen sagt das er ein Zertifikat für die Authentifizierung verwenden soll. Klappt die Verbindung.
Ich habe jedoch nie ein Zertifikat angelegt oder dergleichen. Ich möchte im Prinzip einfach nur das es nur geht wenn der Schlüssel stimmt.

Kann mir vielleicht jemand von euch helfen?

Beste Grüße

Content-ID: 300873

Url: https://administrator.de/contentid/300873

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

Rolf14
Rolf14 04.04.2016 um 16:19:13 Uhr
Goto Top
Ich denke es könnte hier dran liegen. Werde ich mal testen und dann noch einmal schreiben.

http://wiki.mikrotik.com/wiki/Securing_L2TP_Server_for_IPSec
aqui
aqui 04.04.2016, aktualisiert am 09.09.2021 um 13:27:47 Uhr
Goto Top
Das hat eigentlich mit deiner o.a. Fehlerbeschreibung nichts zu tun.
Du sagst ja das du deinen L2TP Server im MT auch ohne ein PSK Passwort erreichen kannst wenn du ein angebliches Zertifikat verwendest was nie erstellt wurde.
Wäre dem tatsächlich so wäre das ein höchst gravierendes Sicherheitsproblem der L2TP Implementaion auf dem MT.

Der von dir zitierte URL behandelt ja nur eine Client Identifikation auf Basis deren Absender IP, was bei wechselnden Clients quasi unmöglich ist.
Mit deinem Fehler hat das erstmal herzlich wenig zu tun, da ganz andere Baustelle.

Wie es geht erklärt das hiesige Tutorial:
Scheitern am IPsec VPN mit MikroTik
114757
114757 04.04.2016 aktualisiert um 17:13:54 Uhr
Goto Top
Zitat von @Rolf14:

Ich denke es könnte hier dran liegen. Werde ich mal testen und dann noch einmal schreiben.

http://wiki.mikrotik.com/wiki/Securing_L2TP_Server_for_IPSec
Exakt, das Problem ist hier das sich bei der reinen L2TP Auth im Mikrotik keine zwingende IPSec-Policy einstellen lässt. D.h. wenn Windows versucht sich via L2TP o. IPSec einzuwählen und der IPSec Tunnel nicht zu stande kommt macht Windows blöderweise daraus einen reinen L2TP Tunnel ohne IPSec, welchen der Mikrotik ohne das von dir verlinkte Skript zulässt.
Deswegen brauchst du das Skript damit der MK hier nur bestehende IPSec Peers per L2TP durch die Firewall lässt.

Die Frage kam vor kurzem schon mal hier
Mikrotik L2TP IPSec Einwahl ohne PSK?


Gruß jodel32
aqui
aqui 05.04.2016 um 10:19:28 Uhr
Goto Top
macht Windows blöderweise daraus einen reinen L2TP Tunnel ohne IPSec,
Wie immer also ein Winblows Problem.
Passiert das auch wenn man im Windows Client den Auto Mode abschlatet und den dediziert auf L2TP only setzt ?
Das sollte das Problem doch auch fixen, oder ?
Obwohl...nicht so wirklich, denn vergisst es einer hat man es wieder...
Würde dann nur gehen wenn man es via Gruppenrichtlininen erzwingt.
114757
114757 05.04.2016 aktualisiert um 10:53:10 Uhr
Goto Top
Zitat von @aqui:
Passiert das auch wenn man im Windows Client den Auto Mode abschlatet und den dediziert auf L2TP only setzt ?
Ja.
Obwohl...nicht so wirklich, denn vergisst es einer hat man es wieder...
Würde dann nur gehen wenn man es via Gruppenrichtlininen erzwingt.
Würde das nur direkt auf dem Mikrotik fixen wollen zumal das ja ein Sicherheitsleck ist, leider gibt es dort noch keine "zwingende" IPSec-Policy für den L2TP, so dass man dort noch zu einem Skript greifen muss.

Habe das aber schon mal bei Mikrotik vor einigen Wochen als Wunsch eingekippt, mal sehen ob sie sich der Sache annehmen.