IPSEC/L2TP VPN - канал зашифрован при таких настройках?

12
S
На сайте с 10.08.2013
Offline
2
2861

Настроил на сервере IPSEC/L2TP VPN - Centos.

Создал в XP "L2TP IPSEC VPN подключение" и подключился к своему серверу.

Все работает быстро, в нете высвечивается адрес сервера - что и требовалось :)

Вопросы:

1. Весь трафик идет по созданному на компе "L2TP IPSEC VPN" соединению?

2. Трафик зашифрован?

3. Какой параметр или информация подтвердят шифрование?

4. Домашний провайдер видит, что я качаю из инета?

5. Что теперь"видит" провайдер?

Переживаю, работает то все быстро и прекрасно - а вдруг канал не зашифрован (

Хочу "спать спокойно" )

ps

инет на компе от билайна. (соединение по локалке+VPN+добавилось L2TP IPSEC VPN )

горят 3 одинаковых мониторчика в трее )

Устанавил: openswan xl2tpd ppp

Настройки такие:

ipsec.conf

version 2.0

config setup

nat_traversal=yes # Позволяет подключаться клиентам расположенным за NAT

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

oe=off

protostack=netkey

conn L2TP-PSK-NAT

rightsubnet=vhost:%priv

also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT

authby=secret

pfs=no

auto=add

keyingtries=3

rekey=no

ikelifetime=8h

keylife=1h

type=transport

left=МОЙ СЕРВЕР

leftprotoport=17/1701

right=%any

rightprotoport=17/%any

xl2tpd.conf

[global]

ipsec saref = yes

listen-addr = МОЙ СЕРВЕР

port = 1701 ; * Bind to port 1701

auth file = /etc/ppp/chap-secrets ; * Where our challenge secrets are

[lns default]

ip range = 172.16.1.30-172.16.1.100 ; ip range = range of IPs to give to the connecting clients

local ip = 172.16.1.1

refuse pap = yes

require authentication = yes

ppp debug = no ; yes for testing

pppoptfile = /etc/ppp/options.xl2tpd

length bit = yes

options.xl2tpd

require-mschap-v2

ms-dns 8.8.8.8

ms-dns 8.8.4.4

asyncmap 0

auth

mtu 1200

mru 1000

crtscts

hide-password

modem

name l2tpd

proxyarp

lcp-echo-interval 30

lcp-echo-failure 4

noipx

---------- Добавлено 05.09.2013 в 00:46 ----------

Добавлю вывод команды ipsec verify

[root@2ipsec ~]# ipsec verify

Checking your system to see if IPsec got installed and started correctly:

Version check and ipsec on-path [OK]

Linux Openswan U2.6.32/K2.6.32-358.6.2.el6.i686 (netkey)

Checking for IPsec support in kernel [OK]

SAref kernel support [N/A]

NETKEY: Testing for disabled ICMP send_redirects [OK]

NETKEY detected, testing for disabled ICMP accept_redirects [OK]

Checking that pluto is running [OK]

Pluto listening for IKE on udp 500 [OK]

Pluto listening for NAT-T on udp 4500 [OK]

Two or more interfaces found, checking IP forwarding [OK]

Checking NAT and MASQUERADEing [OK]

Checking for 'ip' command [OK]

Checking /bin/sh is not /bin/dash [OK]

Checking for 'iptables' command [OK]

Opportunistic Encryption Support [DISABLED]

[root@2ipsec ~]#

S
На сайте с 10.08.2013
Offline
2
#1

Можно ли так убедиться в шифровании?

Установил на комп Wireshark.

Запустил Wireshark - смотрю трафик на "Подключение по локальной сети" - выставил фильтр "http" - запустил захват.

в браузере открываю yandex.ru и вижу все запросы.

Запустил openvpn - смотрю трафик на "Подключение по локальной сети"

в браузере открываю yandex.ru - пусто, ничего не видно.

izbushka
На сайте с 08.06.2007
Offline
109
#2
searchuser:
Запустил openvpn - смотрю трафик на "Подключение по локальной сети"
в браузере открываю yandex.ru - пусто, ничего не видно.

Врёт он всё :)

Куда ж ему идти как не через "Подключение по локальной сети". ВПН то у вас построен в этом канале? Другое дело, что вы там должны видеть инкапсулированный трафик. Видимо, вам надо убрать фильтр по http, тогда вы увидите то, что видит провайдер

1. route print, или как там в Windows, покажет куда идет трафик по-умолчанию (default gateway)

4,5. Домашний провайдер видит (шифрованный) трафик до впн сервера.

UNIT-IS
На сайте с 19.10.2012
Offline
48
#3

- Выбирать в сниффере не "Подключение по локальной сети", а созданное подключение VPN!

- Вы XP отпустили бы уже в прошлое, на нем куча проблем с L2TP over IPSEC. Утечка трафика мимо VPN очень даже вероятна, а особенно DNS запросы.

- Провайдер, если очень захочет, увидит: посмотрит к какому серверу вы подключены (а это не скроешь, если только не насоздавать VPN-цепочек) и у конечного провайдера, если на то будут везкие причины, запросит проверку вашей деятельности. А если VPN сервер у вашего же провайдера, то считайте что вы его зря поставили.

Эффективно прятаться с помощью VPN от сторонних лиц, а вот от провайдера у которого же и обслуживаетесь - не очень)

izbushka
На сайте с 08.06.2007
Offline
109
#4
UNIT-IS:
Эффективно прятаться с помощью VPN от сторонних лиц, а вот от провайдера у которого же и обслуживаетесь - не очень)

А кто такие сторонние лица, и как они получат доступ к трафику, позвольте узнать? :)

UNIT-IS
На сайте с 19.10.2012
Offline
48
#5
izbushka:
А кто такие сторонние лица, и как они получат доступ к трафику, позвольте узнать? :)

Яркий пример тому - открытая точка доступа Wi-Fi. Есть еще масса других способов прослушивать ваш трафик. Например в вашем доме, ярый сосед-гений захочет перехватывать ваш трафик ибо вы располагаете информацией нац. безопасности))) http://www.xakep.ru/post/41146/ . Ну или просто по локальной сети вашего провайдера, если такова имеется.

izbushka
На сайте с 08.06.2007
Offline
109
#6
UNIT-IS:
Яркий пример тому - открытая точка доступа Wi-Fi. Есть еще масса других способов прослушивать ваш трафик. Например в вашем доме, ярый сосед-гений захочет перехватывать ваш трафик ибо вы располагаете информацией нац. безопасности))) http://www.xakep.ru/post/41146/ . Ну или просто по локальной сети вашего провайдера, если такова имеется.

Открытая точка доступа является вашим провайдером. Локальная сеть вашего провайдера, то же, собственно и есть ваш провайдер :)

UNIT-IS
На сайте с 19.10.2012
Offline
48
#7
izbushka:
Открытая точка доступа является вашим провайдером. Локальная сеть вашего провайдера, то же, собственно и есть ваш провайдер :)

Такой остроумный и информативный комментарий...

Если вы не знали, то есть провайдеры которые предоставляют исключительно интернет доступ без возможности коммуникации клиентов между собой по локальной сети.

izbushka
На сайте с 08.06.2007
Offline
109
#8
UNIT-IS:
Если вы не знали, то есть провайдеры которые предоставляют исключительно интернет доступ без возможности коммуникации клиентов между собой по локальной сети.

Если вы не знали, то (я надеюсь) уже никто не использут хабы, а свичи вам чужой трафик послушать не дадут. А если кто-то подслушает ваш трафик используя оборудование провайдера, то это с точки зрения безопасности, ни чем не отличается от того, что сам провайдер подслушает ваш трафик.

Соответсвенно, именно от провайдера(ов) и надо его прятать.

UNIT-IS
На сайте с 19.10.2012
Offline
48
#9
izbushka:
Если вы не знали, то (я надеюсь) уже никто не использут хабы, а свичи вам чужой трафик послушать не дадут. А если кто-то подслушает ваш трафик используя оборудование провайдера, то это с точки зрения безопасности, ни чем не отличается от того, что сам провайдер подслушает ваш трафик.
Соответсвенно, именно от провайдера(ов) и надо его прятать.

Да вы правы. Но как итог, эффективность VPN в данном случае с провайдером или тех, кто получат доступ к свитчу, - не высока. Если конечно либо пользователь продвинутый и создаст цепочку для сокрытия конечных серверов, либо провайдер ленивый, который в худшем случае просто откажет в обслуживании без разбирательств.

Статья в дополнение http://landetective.ru/products/internet-monitor/manual/traffic-analysis.html

izbushka
На сайте с 08.06.2007
Offline
109
#10
UNIT-IS:
Но как итог, эффективность VPN в данном случае с провайдером или тех, кто получат доступ к свичу, - аж нулевая.

Канал между сервером и клиентом будет шифрован. Канал на выходе из сервера будет открыт. Так будет не зависимо от того, кто провайдер или где сервер. Шифруется только туннель между клиентом и сервером.

Конечно, смысла скрывать транзитный (через сервер) трафик от провайдера данного сервера нет - он увидит его с нешифрованной стороны - на выходе из туннеля.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий