VPN na routeru Cisco

Uživatelský avatar
pafik
Příspěvky: 967
Registrován: 10. 2. 2013, 5:07
Bydliště: Praha 4

1. 6. 2020, 4:38

Může být nastavené, že si na veřejnou adresu nepingneš. My máme dvě veřejné, na jednu si pingnout jde, na druhou ne. Mělo by to být nastavitelné na venkovním rozhraní routeru (modemu).
aleshonsa
Příspěvky: 1752
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

2. 6. 2020, 3:50

Naistaloval jsem certifikát a dělal jsem další pokusy. Teď už je skutečně dostupný k vybrání v klientu před logováním. Bohužel jsem nepochodil, ale zjistil jsem:
- Na router se dá 100% z venku přes IP co je vidět ve WAN1 dostat. Když totiž schválně zadám špatný login, tak hodí hlášku, že je login špatně. Tj. přihlášení jakožto uživatele projde.
- Stejně tak je vidět SSL VPN server, protože když ho vypnu, tak se přihlašování zarazí hned ze začátku a hodí hlášku, že je VPN server nedostupný. Nicméně jinou než později.
- Mam dojem, že se to nějak zasekne ještě než klient komunikuje s routerem ohledně certifikátu. Usuzuju to z toho, jak se to chovalo předtím (než jsem certifikát nainstaloval), a pak z toho, že obecně je výsledek stejný bez ohledu jaký certifikát vyberu. Já jsem tam totiž ještě naistaloval další certifikát vygenerovaný routerem, který ale není pro SSL VPN nastaven, přičemž výsledek při logování je stejný (tj. žádná hláška že je špatný certifikát nebo tak něco).

Nějak už mě nenapadá co s tím. Jde o to, jestli je FortiClient s Cisco SSL VPN vůbec kompatibilní.

Mezitím jsem našel tohle https://www.cisco.com/c/en/us/support/d ... RV34X.html
Akorát, že není verze pro Win 10, ale snad to půjde. A pak aby to nedělalo bordel s FortiClient - ten potřebuju kvůli VPN v práci.
S pozdravem
Ing. Aleš Honsa
aleshonsa
Příspěvky: 1752
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

2. 6. 2020, 4:41

UPDATE:
Takže přes ten Shrew Soft klient to zkoušet nebudu. Jak jsem se někde dočetl tak tím jak to není na Win 10 dělané tak to někomu zbouralo síťové připojení, což je poslední co bych chtěl. S tím jsem si už užil až dost.
Ale dle tohoto https://www.cisco.com/c/en/us/support/d ... s-vpn.html by bylo možná nejlepší zkusit toto https://www.cisco.com/c/en/us/support/d ... gs-on.html protože s tím chodí vestavěný VPN klient ve Windows.

Tak to zkusím a uvidím.
S pozdravem
Ing. Aleš Honsa
aleshonsa
Příspěvky: 1752
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

4. 6. 2020, 2:56

Takže VPN postavenou na L2TP s IPSec a nativním klientem Win 10 se mi nakonec konečně podařilo rozchodit.
Komplikace vznikala pouze v tom, že Microsoft si nějak uklohnil nastavení IPSec dle svého a nikde to není v OS vidět natož aby to šlo přímo konfigurovat. Přičemž bez znalosti jak to mají nastavené si v routeru IPSec prostě nenastavíte tak aby to fungovalo, to se metodou pokus/omyl dát nedá.
Kdyby to někoho zajímalo, tak v příloze je PDF jak to mají nastavené, co jsem našel přímo u podpory Microsoft. Pak je tam PDF co jsem našel v diskuzi podpory Cisco, které vypracoval někdo přímo od Cisco. To je sice pro jiný router, konkrétně RV340, nicméně genericky je to celkem dobře použitelné a řekl bych daleko jasnější než v tom popisu od Microsoft. Je tam jak nastavení IPSec v routeru tak i potom konfigurace klienta ve Windows - musí se tam vypnout kódování přenosu hesla (protože kanál je už sám o sobě kódovaný) a nastavit PAP.
Nicméně já pak nakonec použil nastavení s lepší úrovní zabezpečení dle postupu od jednoho uživatele - to je na přiloženém obrázku. V PowerShell se musí pustit dávka, co upraví původní nastavení IPSec od Microsoft. Dávka je:

Set-VpnConnectionIPsecConfiguration -ConnectionName "test" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -PfsGroup PFS2 -DHGroup Group2 -PassThru -Force

kde u -ConnectionName se uvádí jméno nastaveného připojení v klientu, zde je tedy jméno test. Tj. nejprve se ve VPN klient Windows vytvoří připojení, pak se pustí tahle dávka a dodělá konfigurace.
Přílohy
L2TP VPN on an RV340.pdf
(231.8 KiB) Staženo 11 x
lt2p best security.jpg
Microsoft_L2TP-IPSec.pdf
(410.44 KiB) Staženo 8 x
l2tp properties3.jpg
S pozdravem
Ing. Aleš Honsa
aleshonsa
Příspěvky: 1752
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

4. 6. 2020, 3:58

Funkční VPN bych tedy měl - tím padá hlavní dotaz na začátku vlákna.
Celkově to tedy je tak, že vzdálený klient dostane v routeru IP adresu, konkrétně u mě v rozsahu 10.0.1.1 - 10.0.1.25 (možných je max. 25 připojení). To je jiná síť, něž síť základního VLAN1 192.168.1.0. Nicméně ta síť 10.0.1.0 není ani žádný další VLAN.
Další věc je, že klient je tam bez MAC, tj. nepoužívá se ani žádná virtuální MAC a jde to tak mimo bezpečnostní nastavení zákazu přístupu cizích MAC a vazby MAC na IP. Bohužel tím nejde ani nastavit fixní IP pro konkrétního vzdáleného klienta a přiděluje se dle dostupnosti z výše uvedeného rozsahu. Já bych preferoval, aby MAC byla a dala se tak udělat fixace, ale to bohužel nevyřeším. Nebo nejlépe kdyby se dala IP fixovat pro konkrétního uživatele, protože na to se pak dá nastavit zabezpečení, kam se kdo může dostat atd.
Pro mě by i bylo nejlepší, kdyby byly IP adresy VPN v rámci nějakého VLAN. V diskuzním fóru Cisco se na to někdo několikrát ptal, ale nikdy nikdo nedal konkrétní odpověď jak to udělat nebo jestli to principiálně jde.

Jinak vypadá to, že sítě 10.0.1.0 a 192.168.1.0 jsou už nějak implicitně proroutované. Na vzdáleném počítači po připojení do VPN vidím zařízení ze sítě 192.168.1.0, akorát s výjimkou:
- Nevidím pracovní stanici, nejde pingnout a scan IP adres jí taky nenajde.
- Set-top box Technisat sice je vidět a jde pingnout, ale program pro stahování nahrávek Techniport ho není schopen najít. Nevím, jestli je to věc Techniport nebo routování, nicméně dal jsem dotaz i na příslušné fórum ohledně TV techniky.

Kdyby měl k těmto věcem někdo nějaký podnět, byl bych rád. Tj. ve stručnosti:
- Jestli by šlo, aby měl připojený VPN klient i MAC?
- Jestli by šlo vázat IP připojeného VPN klienta na uživatele co se přihlašuje?¨
- Jestli by šlo, aby byly IP adresy pro VPN připojení v nějakém VLAN?
- Proč nejsou některá zařízení při připojení přes VPN viditelná na vzdáleném počítači?

Díky
S pozdravem
Ing. Aleš Honsa
Odpovědět

Zpět na „Ostatní (pc)“