Приветствую, уважаемые! Столкнулся с ситуацией, когда небольшие региональные провайдеры начали блокировать l2tp, тем самым, парализовав работу офиса. Уж не знаю с какой целью и под каким соусом, но факт, столкнулся дважды в разных регионах, на разных провайдерах. Давайте попробуем быстро решить данный вопрос малой кровью или заранее подготовиться к данной проблеме.
Я сетевой инженер в большой компании, пишу статьи про сетевое оборудование, сетевые технологии и околоАЙТИшные темы. Рассматриваю возможности разного оборудования, вместе с вами продолжаю изучать разный функционал и привожу конкретные примеры того, что сделано и как сделано. Это не призыв к действию и не точный мануал - в моих статьях бывают ошибки, которые я всегда готов обсудить в комментариях. Прошу следовать правилам платформы, не нарушать законодательство РФ, не оскорблять других людей и все будет норм!
Итак, имеем микротики в двух точках, нормально работающий L2TP VPN между ними и, вдруг, одним утром обнаруживаем, что впн не поднимается. Причем, в моем случае, у меня не "точка-точка", а 4 отказоустойчивых хаба + возможность попробовать соединить впном еще 100+ офисов между собой. Пытался грешить на фрагментацию пакетов, игрался с мту... И по результатам данных тестов - проблема оказалась именно в провайдере. Он просто блокировал весь l2tp трафик куда бы то ни было. Интернет и пинги продолжали работать, а впны просто не могли установить соединение...
Ну что жжж... Давайте смотреть что мы можем сотворить еще. PPTP, OVPN, SSTP, ну и всякие разновидности с IPSEC: EoIP, GRE, IP-IP туннели. На 7ой РоутерОС появился еще WireGuard, который я рассматривал в данной статье. Вооружение неплохое. Но давайте предположим, что над вами стоят 5 человек и громко и навязчиво поторапливают сделать хоть что-то... Знакомо?! \(`0´)/
Давайте сразу отбросим варианты с ipsec. Скорее всего, если вы использовали авторизацию l2tp (даже если с ipsec), то у вас все завязано на логины/пароли и идентифицируете вы офисы по ним же, а не по внешним ip, в которых резко надо будет начать разбираться, если захотите перейти на gre или eoip. Поэтому оставляем pptp, ovpn и sstp.
PPTP, не считая того, что старый, древний и не очень надежный в плане безопасности - вполне рабочий вариант. Использует специфический порт tcp:1723, который также как udp:1701 у l2tp может быть заблокирован. Я вот, кстати, не успел распотрошить эту ситуацию целиком и не понял блокировались ли udp 500, 4500 порты, который использует ipsec, или пров только на 1701 ополчился... Теперь до следующих проблем только. На данный момент провайдер открыл данные порты, через сутки после обращения и воды в уши, что у них все отлично... Но это уже классика, как из анекдота:
Если бы сисадмины работали в МЧС:
- Алло! Приезжайте, здесь жёлтая девятиэтажка горит!
- Ну, не знаю, у меня напротив такая же жёлтая девятиэтажка, и она не горит.
Далее OVPN - отличный впн, хоть и довольно требовательный к ресурсам роутера, но очень надежный в плане шифрования. Передаёт данные по сети с помощью протоколов UDP или TCP с применением драйвера TUN/TAP. Протокол UDP и драйвер TUN позволяет подключаться к серверу OpenVPN клиентам, расположенным за NAT. К сожалению, быстро такую систему не развернешь, а уж если что-то "горит", то тем более. Работает только на сгенерированных цифровых сертификатах, чем и обеспечивается надежное шифрование. Работает на любом порту, который укажете.
SSTP - разработка компании Microsoft, интегрированная в операционные системы семейства Windows с 2008 года. Основой протокола стал SSL — криптографический инструмент ассиметричного шифрования. SSTP устанавливает сетевое соединение посредством порта tcp:443, безопасность обеспечивается HyperText Transfer Protocol Secure (HTTPS). Шифрование пакетов данных основано на SSL, аутентификация на сетевых узлах происходит посредством SSL и PPP. Порт, кстати, можно указать любой, 443 - дефолтный.
Учитывая ситуацию и явные блокировки со стороны провайдера, я принял решение копать в сторону SSTP. К тому же, как выяснилось в процессе, наличие сертификатов не так важно, т.к. авторизация происходит по логину/паролю, а данные, даже в дефолтном конфиге, шифруются через aes256. Более чем достойно. Его давайте и препарируем.
Итого, у нас уже был настроен логин/пароль для l2tp авторизации на приемном (сервер) хосте, там же локальный и удаленный адрес, а соответственно, вся настроенная маршрутизация и фильтры...
Нам остается только удостовериться, что в настройках PPP стоит сервис any, который позволяет нам иметь единый профиль для удаленного офиса во всех впн-сервисах. Удостоверились? Тогда переходим на первую вкладку раздела PPP -> Interface. И проваливаемся в SSTP Server для его активации и настройки.
Из настроек: ставим галку Enabled, убираем лишние галки в Authentication и поле Verify Client Certificate, Default Profile описывает возможность шифрования или без него, выбираем "с".
Не забудем правило для фаервола, в котором укажем возможность обрабатывать входящий трафик по 443 порту для цепочки input.
На клиенте добавляем SSTP-client с такими же вводными, как в L2TP. Для наглядности привел вывел оба окна, они очень похожи.
Не забудьте убрать галочку, которая стоит по дефолту и вынуждает проверять фактический адрес сервера из сертификата, которого мы не подгрузили. Заполняем адрес основного офиса, логин и пароль. И все, должно завестись даже без сертификатов. Можно их добавить позже, что сильно усложнит задачу перехвата и расшифровки вашего трафика.
В данной статье не рассматривается вопрос маршрутизации, т.к. предполагается, что впн уже у вас был настроен и все работало, но возникла необходимость быстро переключиться на другой сервис впн. Насколько это удобно и быстро можно сделать - как раз и рассмотрено в данной статье. Специально отказываться и переходить с L2TP на SSTP просто "потому что" - я бы не советовал. Нет в нем никаких существенных выгод в сравнении, кроме возможности переключать порт впна. При правильном варианте настройки стоит озадачиться вопросом генерации цифровых "server-client" сертификатов. По остальным ощущениям не увидел большой разницы.
Спасибо за внимание, надеюсь было интересно! Как обычно: лайк, подписка, удачи вам, не болейте и поменьше неприятностей на работе!