Настройка L2TP over IPSec на роутере D-Link DSR-1000

Для начала настроим L2TP. Этот протокол служит для транспортировки пакетов. Из википедии L2TP (англ. Layer 2 Tunneling Protocol — протокол туннелирования второго уровня) — в компьютерных сетях туннельный протокол, использующийся для поддержки виртуальных частных сетей. Несмотря на то, что L2TP действует наподобие протокола Канального уровня модели OSI, на самом деле он является протоколом Сеансового уровня и использует зарегистрированный UDP - порт 1701. Проверяем после установки соединения:

На роутере проводим настройку L2TP сервера:

На роутере заводим пользователя с правом L2TP. При подключении будет использоваться логин пароль этого пользователя. На роутере мы можем посмотреть подключенных пользователей:

На клиенте Ubuntu Desktop провожу настройку клиента. IPSec в настройке отключаю. Соединяемся с роутером по L2TP туннелю.

Это таблица маршрутизации на этом роутере:
Kernel IP routing table
Destination         Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.13.201  0.0.0.0         255.255.255.255 UH     0      0        0 ppp0
127.0.0.1            127.0.0.1     255.255.255.255 UGH  1      0        0 lo
192.168.4.0        0.0.0.0         255.255.255.0     U        0      0        0 bdg1
192.168.0.0        0.0.0.0         255.255.255.0     U        0      0        0 eth1
192.168.0.0        0.0.0.0         255.255.255.0     U        0      0        0 eth2
0.0.0.0               192.168.0.1       0.0.0.0            UG     0      0        0 eth1

Где 192.168.4.0 адрес локальной сети роутера, 192.168.0.0 внешние интернет адреса (моя локалка с которой раздаю интернет), 192.168.13.201 адрес выданный роутером клиенту L2TP.

В программе Wireshark, запущенной с клиента, установившего L2TP-туннель с роутером, при запуске пинга на IP-адрес 192.168.4.20 принадлежащий локальной сети за роутером, вложенность в пакет выглядит так:
eth:ip:udp:l2tp:ppp:ip:icmp:data
L2TP не шифруется, поэтому нас не устраивает. Будем его использовать только как транспорт для IPSec, который шифруется.

Настраиваем IPSec на роутере D-Link. С теорией по IPSec можно ознакомится в этой статье.

Настроим IPSec в транспортном режиме. Белый внешний IP-адрес (для моего примера) 192.168.0.196 с кем соединятся указал в Remote Endpoint. Алгоритм шифрования для XP клиентов рекомендуется 3DES и SHA-1. NAT-Traversal не включал. Функция Dead Peer Detection (DPD) предназначена для определения работоспособности туннеля - включил. PFS включил.

Теперь в Wireshark мы увидим что содержимое пакетов зашифровано eth:ip:esp

На рисунке ниже, вот так выглядят пакеты в L2TP over IPSec с включенным NAT-Traversal. NAT-T использует UDP 4500.

Теперь настроим IPSec в туннельном режиме. И еще одно немаловажное изменение, в Remote Endpoint укажем не конкретный адрес, а FQDN 0.0.0.0

Схема соединения без NAT:

Client VPN 192.168.0.196 ---- Internet ---- Server VPN - Router - 192.168.0.166

Вот такой VPN - лог генерируется:

[IKE] INFO:  [IPSEC_VPN] IPsec-SA established: ESP/Transport 192.168.0.166->192.168.0.196 with spi=515848118(0x1ebf37b6)

[IKE] INFO:  [IPSEC_VPN] IPsec-SA established: ESP/Transport 192.168.0.196->192.168.0.166 with spi=122863806(0x752c0be)

[IKE] INFO:  No policy found, generating the policy : 192.168.0.196/32[1701] 192.168.0.166/32[1701] proto=udp dir=in

[IKE] INFO:  Using IPsec SA configuration: anonymous

[IKE] INFO:  Responding to new phase 2 negotiation: 192.168.0.166[0]<=>192.168.0.196[0]

[IKE] INFO:  Sending Informational Exchange: notify payload[INITIAL-CONTACT]

[IKE] INFO:  ISAKMP-SA established for 192.168.0.166[500]-192.168.0.196[500] with spi:cae6f671d5e4d507:b50558498aa24484

[IKE] INFO:  Received unknown Vendor ID

[IKE] INFO:  Received unknown Vendor ID

[IKE] INFO:  Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

[IKE] INFO:  Received unknown Vendor ID

[IKE] INFO:  Received Vendor ID: RFC 3947

[IKE] INFO:  Received Vendor ID: DPD

[IKE] INFO:  Received unknown Vendor ID

[IKE] INFO:  Beginning Identity Protection mode.

[IKE] INFO:  Received request for new phase 1 negotiation: 192.168.0.166[500]<=>192.168.0.196[500]

[IKE] INFO:  Anonymous configuration selected for 192.168.0.196[500].

Теперь появилась анонимная конфигурация, т.е. нет привязки к IP-адресу клиента. 

Интересно проверить как будет работать с адресами клиентов за NAT-ом. Проверено - за NAT не работает. Надо включать NAT-Traversal. 

Пример соединения:

Client VPN 192.168.0.196 - Router-NAT-1.1.1.1 ---- Internet ---- Server VPN - Router - 2.2.2.2

Лог соединения:

IPsec-SA established[UDP encap 4500->11366]: ESP/Transport 2.2.2.2->1.1.1.1 with spi=3037768221(0xb510aa1d)

IPsec-SA established[UDP encap 11366->4500]: ESP/Transport 1.1.1.1->2.2.2.2 with spi=2688364(0x29056c)

Adjusting peer's encmode 4(4)->Transport(2)

No policy found, adjusting source address for generating the policy incase of NAT-T in Transport Mode: 1.1.1.1/32[1701] 2.2.2.2/32[1701] proto=udp dir=in

Re-using previously generated policy: 192.168.0.196/32[1701] 2.2.2.2/32[1701] proto=udp dir=in

Using IPsec SA configuration: anonymous

Responding to new phase 2 negotiation: 2.2.2.2[0]<=>1.1.1.1[0]

Sending Informational Exchange: notify payload[INITIAL-CONTACT]

ISAKMP-SA established for 2.2.2.2[4500]-1.1.1.1[11366] with spi:59d70c4ff4f9c7d1:edc2e8b3c26d1876

KA list add: 2.2.2.2[4500]->1.1.1.1[11366]

Floating ports for NAT-T with peer 1.1.1.1[11366]

NAT detected: PEER

NAT-D payload does not match for 1.1.1.1[63485]

NAT-D payload matches for 2.2.2.2[500]

For 1.1.1.1[63485], Selected NAT-T version: RFC 3947

Received unknown Vendor ID

Received unknown Vendor ID

Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

Received unknown Vendor ID

Received Vendor ID: RFC 3947

Received Vendor ID: DPD

Received unknown Vendor ID

Beginning Identity Protection mode.

Received request for new phase 1 negotiation: 2.2.2.2[500]<=>1.1.1.1[63485]

Anonymous configuration selected for 1.1.1.1[63485].

Как видно из лога используется UDP 4500 для NAT-Traversal

Также акцентирую внимание на настройку L2TP сервера. Там есть настройка роутинга NAT и Classical. Если выбран Classical, то при установке соединения будет доступен только сам роутер по внутреннему адресу. Поэтому надо выставлять NAT для того чтобы увидеть компы за натом.

UPD 12.08.2015

Для того чтобы видеть сеть за L2TP сервером, нужно прописать маршрут в "Advanced - Routing - Static routing". 

Например:

Destination - 192.168.13.0, MASK - 255.255.255.0, GW - 192.168.1.1, Interface - LAN, Active - Yes, Private - No, Metric - 15, 

  где 192.168.13.0 - это сеть L2TP, GW - 192.168.1.1 - это адрес самого роутера в локальной сети, метрика от 2 до 15.