Mikrotik L2TP IPSec ausschlieslich über Schlüssel
Hallo Freunde,
ich habe hier einen Mikrotik Router. Alles was ich soweit konfiguriert habe funktioniert. Ich baue VPN Verbindungen via L2TP/IPSec auf.
Mit dem IPSec Schlüssel klappt auch alles und alles ist gut.
Wenn man bei dem Verbindungsaufbau nen falschen Schlüssel angibt kommt ein Fehler und es geht nicht. ( So wie es sein soll )
Wenn man jedoch beim Client ( z.b. Windows 10 ) in den Einstellungen sagt das er ein Zertifikat für die Authentifizierung verwenden soll. Klappt die Verbindung.
Ich habe jedoch nie ein Zertifikat angelegt oder dergleichen. Ich möchte im Prinzip einfach nur das es nur geht wenn der Schlüssel stimmt.
Kann mir vielleicht jemand von euch helfen?
Beste Grüße
ich habe hier einen Mikrotik Router. Alles was ich soweit konfiguriert habe funktioniert. Ich baue VPN Verbindungen via L2TP/IPSec auf.
Mit dem IPSec Schlüssel klappt auch alles und alles ist gut.
Wenn man bei dem Verbindungsaufbau nen falschen Schlüssel angibt kommt ein Fehler und es geht nicht. ( So wie es sein soll )
Wenn man jedoch beim Client ( z.b. Windows 10 ) in den Einstellungen sagt das er ein Zertifikat für die Authentifizierung verwenden soll. Klappt die Verbindung.
Ich habe jedoch nie ein Zertifikat angelegt oder dergleichen. Ich möchte im Prinzip einfach nur das es nur geht wenn der Schlüssel stimmt.
Kann mir vielleicht jemand von euch helfen?
Beste Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300873
Url: https://administrator.de/contentid/300873
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Das hat eigentlich mit deiner o.a. Fehlerbeschreibung nichts zu tun.
Du sagst ja das du deinen L2TP Server im MT auch ohne ein PSK Passwort erreichen kannst wenn du ein angebliches Zertifikat verwendest was nie erstellt wurde.
Wäre dem tatsächlich so wäre das ein höchst gravierendes Sicherheitsproblem der L2TP Implementaion auf dem MT.
Der von dir zitierte URL behandelt ja nur eine Client Identifikation auf Basis deren Absender IP, was bei wechselnden Clients quasi unmöglich ist.
Mit deinem Fehler hat das erstmal herzlich wenig zu tun, da ganz andere Baustelle.
Wie es geht erklärt das hiesige Tutorial:
Scheitern am IPsec VPN mit MikroTik
Du sagst ja das du deinen L2TP Server im MT auch ohne ein PSK Passwort erreichen kannst wenn du ein angebliches Zertifikat verwendest was nie erstellt wurde.
Wäre dem tatsächlich so wäre das ein höchst gravierendes Sicherheitsproblem der L2TP Implementaion auf dem MT.
Der von dir zitierte URL behandelt ja nur eine Client Identifikation auf Basis deren Absender IP, was bei wechselnden Clients quasi unmöglich ist.
Mit deinem Fehler hat das erstmal herzlich wenig zu tun, da ganz andere Baustelle.
Wie es geht erklärt das hiesige Tutorial:
Scheitern am IPsec VPN mit MikroTik
Zitat von @Rolf14:
Ich denke es könnte hier dran liegen. Werde ich mal testen und dann noch einmal schreiben.
http://wiki.mikrotik.com/wiki/Securing_L2TP_Server_for_IPSec
Exakt, das Problem ist hier das sich bei der reinen L2TP Auth im Mikrotik keine zwingende IPSec-Policy einstellen lässt. D.h. wenn Windows versucht sich via L2TP o. IPSec einzuwählen und der IPSec Tunnel nicht zu stande kommt macht Windows blöderweise daraus einen reinen L2TP Tunnel ohne IPSec, welchen der Mikrotik ohne das von dir verlinkte Skript zulässt.Ich denke es könnte hier dran liegen. Werde ich mal testen und dann noch einmal schreiben.
http://wiki.mikrotik.com/wiki/Securing_L2TP_Server_for_IPSec
Deswegen brauchst du das Skript damit der MK hier nur bestehende IPSec Peers per L2TP durch die Firewall lässt.
Die Frage kam vor kurzem schon mal hier
Mikrotik L2TP IPSec Einwahl ohne PSK?
Gruß jodel32
macht Windows blöderweise daraus einen reinen L2TP Tunnel ohne IPSec,
Wie immer also ein Winblows Problem.Passiert das auch wenn man im Windows Client den Auto Mode abschlatet und den dediziert auf L2TP only setzt ?
Das sollte das Problem doch auch fixen, oder ?
Obwohl...nicht so wirklich, denn vergisst es einer hat man es wieder...
Würde dann nur gehen wenn man es via Gruppenrichtlininen erzwingt.
Zitat von @aqui:
Passiert das auch wenn man im Windows Client den Auto Mode abschlatet und den dediziert auf L2TP only setzt ?
Ja.Passiert das auch wenn man im Windows Client den Auto Mode abschlatet und den dediziert auf L2TP only setzt ?
Obwohl...nicht so wirklich, denn vergisst es einer hat man es wieder...
Würde dann nur gehen wenn man es via Gruppenrichtlininen erzwingt.
Würde das nur direkt auf dem Mikrotik fixen wollen zumal das ja ein Sicherheitsleck ist, leider gibt es dort noch keine "zwingende" IPSec-Policy für den L2TP, so dass man dort noch zu einem Skript greifen muss.Würde dann nur gehen wenn man es via Gruppenrichtlininen erzwingt.
Habe das aber schon mal bei Mikrotik vor einigen Wochen als Wunsch eingekippt, mal sehen ob sie sich der Sache annehmen.