VPN IPsec a L2TP

Dla specjalistów Serwery i systemy serwerowe
#1

Nie raz zestawiałem na MT - VPN na głównym MT i wiadomo ppptp się już nie robi ale zawsze robiłem L2TP + IPsec (klucz wstępny) i to rozwiązanie według mnie idealne, public adres potrzebny tylko po stronie serwera vpn - klienci się podłączają przez wbudowany vpn w Windows, można też podłączyć router MT (jako klienta vpn) , ilość klientów podłączających się do serwera teoretycznie nieograniczona, działa to bez zarzutu.
Druga opcja (w przypadku Windows Servera po stronie firmy i kont domenowych na które użytkownicy logują się z innej lokalizacji) zestawiałem połączenie EoIP, między mikrotikami - działało bez zarzutu.

To o co chodzi z tym IPsec? to coś innego niż L2TP+IPsec na MT? i jeśli tak to w czym jest lepsze.
Słyszałem ze IPsec zestawia się nie na zasadzie serwer- klient tylko każda lokalizacja jest ze soba spięta na równych prawach.
Czy w ogóle na mikrotiku można zestawić takiego typowego IPsec? bo ja zawsze robię l2tp+ipsec i nie widziałem nigdzie w necie info o zestawieniu samego ipsec na mikrotiku.

#2

Tak. IPSec, to IPSec. IPSec działa w warstwie 3 ISO/OSI, L2TP działa w wrastwie 2. L2TP samo w sobie nie posiada żadnego mechanizmu szyfrowania, dlatego możliwe jest szyfrowania pakierów za pomocą IPSec. IPSec może szyfrować tylko nagłówki (AH) lub cały pakiet IP (ESP). W przypadku L2TP IPSec, tunel zestawia L2TP, a IPSec szyfruje pakiety i odpowiada za uwierzytelnianie, natomiast IPSec zestawia tunel (uwierzytelnia, szyfruje pakiety i dba o integralność danych).

L2TP jak wspomniałem, nie posiada żadnego mechanizmy szyfrowania. L2TP jest prostym protokołem, który tylko zestawia tunel, dlatego musi się wspomagać protokołem IPSec, tak samo zresztą EoIP. IPSec zestawia tunel, szyfruje nagłówki lub całe pakiety IP. IPSec działa w oparciu o polityki, którymi decydujesz co jest szyfrowane, co jest dozwolone, a co nie. W IPSec do uwierzytelniania możesz użyć certyfikatów. L2TP zezwala na dowolny ruch i tu dochodzi zabawa z routingiem i firewall czego przy IPSec robić nie trzeba, za to odpowiadają polityki bezpieczeństwa.

Tak - IP > IPSec. L2TP z włączonym IPSec ustawia tam między innymi polityki bezpieczeństwa i dane uwierzytelniania.

Coś słabo szukałeś, informacje o tym są chociażby na Wiki Mikrotika.

Mikrotik wspiera również IPSec IKEv2. Różni się ono, przynajmniej w przypadku urządzeń takich jak Cisco, większym wyborem algorytmów szyfrowania. Na przykład w Cisco IKEv2, daje większe możliwości, niż IKE. Mikrotik daje w tym zakresie większe możliwości. IKEv2 nie daje jednak w przypadku Remote Access aż takiej kontroli jak IKE. Do tego praktycznie większość systemów ma wbudowanego klienta IKEv2. Przy IPSec zazwyczaj potrzebny jest dedykowany klient, np. Cisco VPN Client czy Shrew VPN Client. Niektórzy producenci mają własne rozwiązania, np. FortiClient dla swoich urządzeń (mnie osobiście nie udało się spiąć FortiClient z Mikrotikem w sposób w mojej opinii bezpieczny - generalnie udało się, ale z bardzo słabym uwierzytelnianiem).