Hardware y software

Problema con L2TP/ipsec

vilchez
vilchez #1 Mar '17

Buenas tardes, os explico.
Resulta que tengo una raspberry pi 2, a la cual le he configurado tanto pptp como l2tp/ipsec.
Tengo los puertos 1723, 4500, 500 y 1701 abiertos en el firewall.
Ahora pregunto yo, que es lo que me está fallando para que no me funcione L2tp, me funciona en local, pero si intento acceder a través de una red externa no consigo que me conecte. Aclarar que pptp si que me funciona perfectamente y si miro si tengo los puertos abiertos, solamente me sale que tengo abierto el puerto 1723 de pptp.
De algo que me he fijado también es que si hago un nmap localhost, no me aperecen por ninguna parte los puertos de l2tp.

Si necesitáis algún dato mas, decírmelo y os lo digo.
Gracias.

sPNkKkKkKkKk
sPNkKkKkKkKk #2 Mar '17

Ipsec además de los puertos 4500 y 500 udp usa protocolos 0x50 y 0x51 que deben ser implementados.

Tiene tu router ipsec passthrough? Está habilitado?

Como consejo para una raspberry lo mejor es que montes un servidor openvpn.

1 respuesta
vilchez
vilchez #3 Mar '17

#2 50 y 51 UDP? el ipsec passthrough si esta habilitado, puesto que me funciona pptp. porque el puerto 1701 es udp también por lo que veo en la raspberry no?
Con openvpn se puede hacer mediante psk?

1 respuesta
sPNkKkKkKkKk
sPNkKkKkKkKk #4 Mar '17

#3 El 50 y 51 son protocolos, si tienes IPSEC Passthrough habilitado en el router no debes tener problemas. Yo tengo montado una lan2lan con ipsec mediante clave psk pero los peers son dos routers cisco.

1 respuesta
vilchez
vilchez #5 Mar '17

#4 Es que haber te cuento, es una empresa que quieren implementar vpn ipsec, entonces ahora mismo tenemos abiertos los puertos 4500, 500 y 1701, en local lo pruebo y me funciona correctamente sin ningún problema me conecta en 2 seg máximo, pero el problema viene cuando intento acceder desde una red externa, entonces ya no se conecta ni para atrás, no se si es porque no tengo abiertos los puertos 50 y 51 o no se...estoy un poco en fuera de juego...

sPNkKkKkKkKk
sPNkKkKkKkKk #6 Mar '17

No, 50 y 51 no son puertos, son protocolos y como tal no se abren... Al habilitar IPSEC Passthrough ya no debes abrir puertos ni preocuparte por protocolos.

Puedes probar poniendo el peer del ipsec de tu lado en el DMZ del router por si no funcionara correctamente la función passthrough.

sPNkKkKkKkKk
sPNkKkKkKkKk #7 Mar '17

Otra cosa, lo que quieres hacer es una lan 2 lan a través de ipsec? O punto a multipunto? Es que no entiendo bien tampoco tu topología de red.

1 respuesta
AikonCWD
AikonCWD #8 Mar '17 Git Gud

PPTP es un protocolo considerado inseguro, yo no se lo recomendaría a nadie. Siempre recomiendo tirar por OpenVPN o */IPSec

1 1 respuesta
Li3cht
Li3cht #9 Mar '17 Pitoniso

A dónde intentas acceder, a la propia Raspberry o a la LAN que tenga detrás? Te lo comento porque yo por ejemplo, tengo varios túneles GRE over IPSec con una salida a Internet mediante dongle 3G, y este dongle en función del firmware te asigna una IP pública o no; si te da una IP privada virtual y NATea internamente, no puedes acceder desde el exterior a la Raspberry.

1 respuesta
AikonCWD
AikonCWD #10 Mar '17 Git Gud

Si deseas acceder a la red interna LAN desde fuera, lo mejor y más fácil es tirar por OpenVPN. Si solo deseas llegar hasta la RPi desde fuera, con L2TP (bien implementado) te debería funcionar.

1 respuesta
vilchez
vilchez #11 Mar '17

#10 #9 #8 #7 Lo que quiero es que desde el exterior pueda entrar dentro de la red interna que tenemos, y poder acceder a todos los recursos que en ella tenemos, tal y como si estuviera trabajando cuando vengo un día normal, el caso es lo que estoy diciendo, pienso que lo tengo todo bien configurado puesto que dentro de la red si que me deja acceder a la vpn mediante l2tp/ipsec psk...y como os digo no se si se me escapa algo...
Un dato que también me llama la atención es que a la hora de hacer un netstat -tulpan los puertos 1701, 4500 y 500 no me aparecen como listen ninguno, no se si es un dato a tener en cuenta pero os lo digo...

2 respuestas
AikonCWD
AikonCWD #12 Mar '17 Git Gud

#11 Si quieres hacer eso, insisto, instala OpenVPN Server. La configuración es relativamente segura, no tienes problemas de puertos y podrás acceder a la LAN desde fuera.

1 respuesta
vilchez
vilchez #13 Mar '17

#12 voy a probar a ver, ahora os digo.

vilchez
vilchez #14 Mar '17

No logro entender porque si que me deja entrar en local sin ningún tipo de problema y no en la red externa...

Edito: me acabo de dar cuenta que una vez que inicio el servicio me aparece esto, algo que yo no he puesto en ninguna parte y no se si es normal que me salga

adding interface eth0/eth0 192.168.1.95:500
adding interface eth0/eth0 192.168.1.95:4500

sPNkKkKkKkKk
sPNkKkKkKkKk #15 Mar '17

#11 Si no es por algún tipo de política empresarial, con esa raspberry lo mejor es que te montes un servidor openvpn ya sea en modo tap o tun con algunas reglas de iptables no tendrías ningún tipo de problema en hacer lo que quieres hacer.

En la oficina tenemos una lan2lan over ipsec con Cisco para acceso entre sedes y una openvpn para acceso a la oficina desde casa (y rula igual de bien que la otra)

_Akiles_
_Akiles_ #16 Mar '17 Sellsword

Lo mejor es que uses OpenVPN y te dejes de lio, si estas detras de un cacharro que hace NAT, para IPSEC no tienes que habilitar los protocolos 50 y 51, solo el puerto 4500 UDP, es una funcion que se llama NAT-T.

vilchez
vilchez #17 Mar '17

error 789, vamos avanzando, antes ni siquiera me salía nada. ahora me sale el siguiente error:

http://i65.tinypic.com/28slkyw.jpg

vilchez
vilchez #18 Mar '17

Buenas de nuevo, tengo novedades, he conseguido que uno de los móviles que tengo, pueda conectarse sin ningún problema, pero en cambio con otro no consigo conectarme, así como con el pc, alguien sabe porque?

Estoy conectándome desde la misma red, y con la misma configuración.

Usuarios habituales

  • vilchez
  • _Akiles_
  • sPNkKkKkKkKk
  • AikonCWD
  • Li3cht

Tags