none
RRAS2016 + CryptoPro + ipsec l2tp RRS feed

  • Общие обсуждения

  • Тестово поднят сервер ws2016 с ролью маршрутизация и удаленный доступ. Сделана базовая настройка подключения посредством PSK (ключ с предварительным шифрованием) по протоколу L2tp/ipsec.
    ПО
    CSPSetup-5.0.11455
    ipsec_1.5.2997-x64

    При попытке подключения: ошибка 789 (Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером).

    При этом аналогично на 2012 подключение исправно работает.

    В настройках заметил отличие в настройке, привожу скрин. Но исходя из описания эти же настройки перенесли в NPS. Проверил NPS и политику доступа - одинаково.

    Пробовал так же прописывать необходимые ветки реестра (для случая если VPN сервер находится за NAT), не помогло.

    17 июля 2020 г. 6:54

Все ответы

  • не понятно при чём тут CryptoPro...

    на сервере 2012 R2 у вас НЕ используется аутентификация через RADIUS. Поэтому, я бы удалил NPS с 2016 и попробовал без него.

    Реестр правится на клиенте

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

    17 июля 2020 г. 7:20
  • Гастарбайтер, спасибо за быстрый ответ!

    1. CryptoPro ipsec при том что там формируются PSK, но это уже нюансы.

    2. Насколько я знаю оснастка NPS ставится по умолчанию (обязательна) при установки роли routing and remote access на сервера.

    3. Понятно что на 2012 не используется аутентификация через радиус, вопрос где это увидеть на 2016 кроме как в NPS.

    17 июля 2020 г. 7:24
  • 2. Насколько я знаю оснастка NPS ставится по умолчанию (обязательна) при установки роли routing and remote access на сервера

    это не так. NPS не оснастка, а отдельная роль для сетевых политик. Так как она установлена на тот же сервере что и RAS, то на скрине настройки выглядят по разному (собственно, там об это написано)

    Кстати, сравните сертификаты на RAS серверах.

    3. Понятно что на 2012 не используется аутентификация через радиус, вопрос где это увидеть на 2016 кроме как в NPS.

    Это увидеть можно только в RAS, ибо в RAS указывается использовать NPS или нет. Вот так это выглядит:

    17 июля 2020 г. 7:47
  • Добрый день.

    1. Я сейчас проверю то что вы сказали но по моим данным у меня на обоих серверах не стоят компоненты (по крайне мере в компонентах при add roles таких галок нету)

    2. Для каких целей сравнивать сертификаты серверов если подключение посредством PSK, сертификаты будут разные я так полагаю.

    3. Меня вводит в ступор что NPS есть в диспетчере администрирования но ее нету в ролях, я считал что это одинаковые вещи. Но даже без установленной роли я настраиваю политику подключения.


    • Изменено xAxellx 17 июля 2020 г. 8:17
    17 июля 2020 г. 8:16
  • 1. Я сейчас проверю то что вы сказали но по моим данным у меня на обоих серверах не стоят компоненты (по крайне мере в компонентах при add roles таких галок нету)

    тогда проверьте действительно ли устновлена оснастка для управления

    2. Для каких целей сравнивать сертификаты серверов если подключение посредством PSK, сертификаты будут разные я так полагаю.

    да, будут разными, но шаблон, по которому они выпущены должен быть одинаков.

    3. Меня вводит в ступор что NPS есть в диспетчере администрирования но ее нету в ролях, я считал что это одинаковые вещи. Но даже без установленной роли я настраиваю политику подключения.

    покажите как это выглядит. К какому серверу подключается оснастка?

    На скрине выше нет роли, но какой сервер вы выбрали в поле Server Selection. Может у вас NPS установлен на другом сервере...

    17 июля 2020 г. 8:26
  • Да, буду сейчас проверять. По сертификатам понял, спасибо.

    По серверу - проверил, скрины приводить не буду. Выбрать сервер из сервер пула - текущий сервер (он же локальный) FQDN имя и ip адреса совпадают значит я проверяю роль там где необходимо.

    Я наверное проведу тесты как будет время потому что такое ощущение что это все таки NPS существует по умолчанию, возможно в каком то обрезанном виде, хотя выглядит как полноценная оснастка равносительно с установленной ролью. Пока ответа нет на этот вопрос.


    • Изменено xAxellx 17 июля 2020 г. 8:40
    17 июля 2020 г. 8:40
  • такое ощущение что это все таки NPS существует по умолчанию, возможно в каком то обрезанном виде, хотя выглядит как полноценная оснастка равносительно с установленной ролью.

    я устновил более 10 RAS серверов - никогда NPS не был обязательным.

    Кстати, если у вас на сервере только RAS, то переустановите его в режиме Core - без графического интерфейса, он вам не нужен. + в Core нельзя установить NPS ;)

    17 июля 2020 г. 8:50
  • Понял ну на данном этапе удобнее GUI поэтому оставлю как есть. Вопрос в том что в 12 работает в 16 нет.

    Удалил роль NPS. Консоль никак не поменялась, но настройка внутри RAS стала идентичной с 2012 как приводил на скриншоте выше. Для себя я не увидел разницы кроме различных окон настроек в RRAS.

    Похоже проблема на связке 2016-ipsec, так как консоль cp_ipsec_info никаких данных не выдает о подключении, вообще ничего... IKE идет запрос логин\пароль.

    Гастарбайтер какой методы шифрования вы использовали, всегда ли все корректно работало?



    • Изменено xAxellx 17 июля 2020 г. 9:37
    17 июля 2020 г. 9:27
  • для IKE вам нужен сертификат. Оно по другому не работает. При этом известны такие случае, когда с сертификатом вида ras.server.ru не работало, но заработало с сертификатом вида RAS.server.ru (или наоборот). Я долго не мог настроить IKE на 2012\16 и долго использовал 2008. Не помню как, но я вышел на эту статью (ссылка, может даже кто-то запостил её в technet) и это решило мою проблему. Сравните свою конфигурацию по этой статье.

    Кстати, в статье рассказывается не только про IKE, но и L2TP + IPsec. А вот ещё классная статья, после которой я начал переводить все VPN на SSTP - ссылка.

    Методы шифрования - по умолчанию (я по этому и удивился, зачем вам CryptoPro в этой связке). Методы аутентификации: EAP для Windows, EAP-MSChap v2 для Linux\macOS.

    17 июля 2020 г. 10:02
  • Спасибо большое, читаю статьи. Для IKE использовался сертификат компьютера как раз таки.

    В итоге отпишусь по результату, еще раз спасибо.

    Огромное спасибо за статьи - интересно очень SSTP с двухфакторной аутентификацией, но и настроить еще нужно.

    Касаемо первой статьи - все по ней кроме одного момента, и я сейчас разбираюсь с этим. На скрине приведено, в особенности VPN Gateway. Данная опция у меня не стоит но статическим роутом настроена маршрутизация. На 2012 работает. Есть над чем подумать.



    • Изменено xAxellx 17 июля 2020 г. 11:24
    17 июля 2020 г. 11:11
  • на скрине выше это примерн настройки проброса портов если у вас в качестве роутера Windows Server. Такая конфигурация встречается редко.

    Какое ПО или устройство у вас предоставляет доступ в интернет? вот там и надо пробрасывать порты (данная статья подразумевает, что ВПН сервер с одним интерфейсом и находится за руотером\NAT)

    17 июля 2020 г. 12:21
  • Понял да, спасибо большое.
    17 июля 2020 г. 14:46
  • Обновил 2012 до 2016. И с теми же самыми настройками этот же сервер не заработал. Очень интересно что может быть не так. Настройка сделана вся по эталонной инструкции еще на 2012.
    • Изменено xAxellx 22 июля 2020 г. 14:18
    22 июля 2020 г. 14:18
  • читайте логи, в том числе NPS
    22 июля 2020 г. 14:50
  • Оказалось проблема была на уровне маршрутизации. Спасибо большое за помощь.

    Дополнительный вопрос - я сгенерировал пару ipsec ключей посредством Crypto Pro ipsec, и серверный ключ предположим не записал,но в настройках он вбит - как можно узнать (если можно) сгенерированный ранее ключ.

    10 августа 2020 г. 9:21
  • вам лучше спросить у Crypto Pro
    10 августа 2020 г. 10:17