Auteur Topic: L2TP met of zonder IKE  (gelezen 2780 keer)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 54
  • Berichten: 611
L2TP met of zonder IKE
« Gepost op: 26 augustus 2017, 20:36:33 »
Ik maak op mijn DS114 gebruik van een VPN server op basis van het L2TP protocol. Bij de instellingen wordt gevraagd bij IKE een sleutel op te geven. Die sleutel moet ik ook invoeren op b.v. mijn ipad als ik daar een vpn verbinding wil instellen.
Maar tot mijn verbazing kan ik met mijn WR710N reisrouter verbinding maken met mijn vpn server zónder dat de router om die sleutel vraagt  :o
Is die IKE sleutel blijkbaar optioneel en is mijn verbinding zónder die sleutel nu wel veilig ?
DS1817+ met 8 X WD30EFRX in SHR-2 configuratie BTRFS als fileserver
DS718+ met 2 X WD10CFJX VPN/SS/Backup/Caldav/Carddav
DS116 met WD20EFRX als test-NAS

Ben(V)

  • Gast
Re: L2TP met of zonder IKE
« Reactie #1 Gepost op: 27 augustus 2017, 09:38:00 »
Ik snap niet helemaal wat je bedoelt met een VPN verbinding maken met je reisrouter.
Die WR710N heeft helemaal geen VPN functionaliteit aan boord dus die kan geen VPN verbinding opzetten.
Het enige wat je in die reisrouter in moet/kan instellen is VPN passthrough, zodat hij het VPN verkeer doorlaat.

Ik weet niet wat je als VPN client gebruikt, maar je PC slaat bijvoorbeeld die IKE op in de registry, dus die geef je alleen bij het instellen van de VPN client op en daarna hoef je bij het opzetten van een VPN connectie alleen username/password in te geven.
Ik vermoed dat de meeste clients dat zo doen.

Is een van de redenen dat de meeste mensen OpenVpn gebruiken, want een passkey in de registry opslaan is nauwelijks meer secure dan alleen maar een username/password te gebruiken.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 479
  • -Ontvangen: 1023
  • Berichten: 5.917
Re: L2TP met of zonder IKE
« Reactie #2 Gepost op: 27 augustus 2017, 15:09:15 »
Bij OpenVPN heb je evengoed dat certificaten, eventuele extra keys en configuratiebestand ook gewoon op je PC zijn opgeslagen.
Wat maakt dat OpenVPN dan beter beveiligd zou zijn?
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Ben(V)

  • Gast
Re: L2TP met of zonder IKE
« Reactie #3 Gepost op: 27 augustus 2017, 15:15:06 »
Het feit dat het een certificate is en niet een simpele string.

Voor uitleg lees dit eens.
https://techblognow.wordpress.com/2015/02/20/x-509-certificates-explained/

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.015
Re: L2TP met of zonder IKE
« Reactie #4 Gepost op: 27 augustus 2017, 15:58:23 »
… ook gewoon op je PC zijn opgeslagen.…

Als je PC niet goed beveiligd is en men heeft toegang tot je PC, zal het inderdaad niets uitmaken of je PPTP of OpenVPN gebruikt. Het certificaat zal bij OpenVPN leesbaar op je PC staan. (Dat ga je niet uit je hoofd intikken) Het wachtwoord heb je in de hand door het niet op te laten slaan.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 54
  • Berichten: 611
Re: L2TP met of zonder IKE
« Reactie #5 Gepost op: 27 augustus 2017, 16:08:03 »
Ik snap dat ik het misschien niet duidelijk heb uitgelegd. In plaats van dat al mijn apparaten die we tijdens de vakantie gebruiken een eigen VPN-verbinding maken met mijn DS114 zou ik willen dat de reisrouter WR710N die VPN verbinding opzet en dan deelt.
Ik gebruik die router al om in WISP mode de wifi verbinding op het vakantie-adres te delen. Soms omdat je maar één apparaat kunt aansluiten, maar ook om niet in elk apparatuur de soms ellenlange sleutel van het wifi-punt van het vakantie adres te moeten inkloppen.

Maar .... volgens mij heb ik de oplossing gevonden. Zie ook de bijlagen. In de eerste schemafdruk zie je de instellingen van mijn VPN-server. Daarin is ook een sleutel voor IKE verificatie opgenomen. Als ik met een iPhone een VPN verbinding opzet moet ik de sleutel ook ingeven op mijn iPhone.

Maar het lukt me nu ook om met de WR710N in te loggen op mijn VPN-server, zie tweede schermafdruk. Als ik nu alle apparaten verbindt met die WR710N heb ik automatisch een (gedeelde) VPN verbinding op alleapparaten. Maar mij valt dus op dat ik voor het verbinden van die WR710N met m'n VPN server GEEN IKE-sleutel hoef in te geven. Ik heb altijd gedacht dat die sleutel een extra noodzakelijke veiligheid was, vandaar mijn verbazing.

Volgens mij werkt het nu goed, want ik kan nu op elk apparaat direct m'n interne IP-adressen van thuis benaderen.

Blijft dus mijn vraag of die VPN verbinding zonder IKE sleutel nu wel zo veilig is.

Dirk
DS1817+ met 8 X WD30EFRX in SHR-2 configuratie BTRFS als fileserver
DS718+ met 2 X WD10CFJX VPN/SS/Backup/Caldav/Carddav
DS116 met WD20EFRX als test-NAS

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 479
  • -Ontvangen: 1023
  • Berichten: 5.917
Re: L2TP met of zonder IKE
« Reactie #6 Gepost op: 27 augustus 2017, 16:17:03 »
Vind het ook vreemd, normaal zonder sleutel (vanuit bijv. een smartphone of tablet) kan ik geen L2TP/IPSec VPN-verbinding opzetten.
Het verschil met je WR710N reisrouter is misschien die vreemde benoeming in je screenshot als  "Russische"  LT2P verbinding???
Vertrouw nooit op Russische verbindingen  :o  ;)
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 479
  • -Ontvangen: 1023
  • Berichten: 5.917
Re: L2TP met of zonder IKE
« Reactie #7 Gepost op: 27 augustus 2017, 16:22:47 »
Als je PC niet goed beveiligd is en men heeft toegang tot je PC, zal het inderdaad niets uitmaken of je PPTP of OpenVPN gebruikt. Het certificaat zal bij OpenVPN leesbaar op je PC staan. (Dat ga je niet uit je hoofd intikken) Het wachtwoord heb je in de hand door het niet op te laten slaan.

Zo bedoelde ik dat.  Je hoeft de extra sleutel niet op te slaan, (gebruikers inlognaam en wachtwoord ook niet).
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.015
Re: L2TP met of zonder IKE
« Reactie #8 Gepost op: 27 augustus 2017, 18:13:17 »
Klinkt ook als Russisch roulette.  :P

Bij mijn weten is die pre-shared key een essentieel onderdeel van L2TP/IPsec. Als ik daar een verkeerde naam invul, dan werkt het niet. Het zou dan vreemd zijn dan je dan wel via een cliënt kunt verbinden die de hele key weglaat.

Die bolletjes in je screenshot suggereren dat je iets ingevuld hebt, maar ik neem aan de jij de hele key gewist hebt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 479
  • -Ontvangen: 1023
  • Berichten: 5.917
Re: L2TP met of zonder IKE
« Reactie #9 Gepost op: 27 augustus 2017, 18:28:07 »
Die bolletjes is gewoon het wachtwoord van het inlog account (dus van een gebruiksaccount om de VPN op te zetten).
Maar zie geen veld om de extra sleutel in te vullen.  Dat zit hem dan wellicht in die "Russische" connectie??

Verder verbazen me de instellingen voor lokale IP-adressen in dat 2e screenshot van die WR710N reisrouter.
Dat hoort helemaal niet bij een set-up voor een VPN-Client.
Enkel het internet WAN IP-adres zou in een profiel voor een VPN Client ingesteld moeten worden.

Dus ik vermoed dat hij in het verkeerde menu bezig is, en misschien nu wel test vanuit zijn LAN netwerk, waarbij je een "normale" netwerk connectie hebt.  Dus zou er in dat geval mogelijk helemaal geen sprake zijn van een VPN-connectie?
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.015
Re: L2TP met of zonder IKE
« Reactie #10 Gepost op: 27 augustus 2017, 18:29:24 »
Ik zou zeggen dat het niet veilig is. Ik vond hier een vergelijkbare "Russia" instelling bij nordvpn.com.

Daar schrijven ze expliciet voor deze Russia manier van verbinden:
Citaat
Please note, that L2TP alone does not encrypt your traffic, it only reroutes you through one of our servers. Please use it at your own risk. This does not apply to L2TP/IPsec.

Die bolletjes is gewoon het wachtwoord van het inlog account…

Ik bedoel natuurlijk de bolletjes in het DSM venster voor de IKE key. Bij dat andere plaatje is het eenduidig.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 54
  • Berichten: 611
Re: L2TP met of zonder IKE
« Reactie #11 Gepost op: 27 augustus 2017, 19:22:19 »
Bij de bolletjes in de eerste screenshot staat wel degelijk een key en die heb ik ook nodig als ik rechtstreeks vanuit een iPhone een vpn verbinding wil opzetten. De suggestie dat ik nu vanuit mijn eigen lan test klopt niet. Ik ben wel degelijk nu op vakantie en heb dus m'n reisroutertje als wisp ingesteld om 5 devies via de locale WiFi verbinding te laten lopen. Omdat ik dus nu direct mijn lokale op adressen kan benaderen is er dus wel degelijk sprake van een vpn verbinding met thuis.
Maar ik snap ook jullie zorgen over het feit dat de reisrouter als vpn client niet om de key vraagt. Dat vond ik dus ook verdacht en vandaar mijn vraag aan jullie.

Oké, blijft dus mijn vraag hoe ik met één client ( het liefst dus een routertje) één vpn verbinding met thuis op kan zetten en die vervolgens kan delen met mijn vijf devices.
Dat lijkt me namelijk handiger dan dat ik op alle devices apart een vpn verbinding moet opzetten.

Dirk
DS1817+ met 8 X WD30EFRX in SHR-2 configuratie BTRFS als fileserver
DS718+ met 2 X WD10CFJX VPN/SS/Backup/Caldav/Carddav
DS116 met WD20EFRX als test-NAS

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.015
Re: L2TP met of zonder IKE
« Reactie #12 Gepost op: 27 augustus 2017, 20:18:00 »
Oké, blijft dus mijn vraag hoe ik met één client ( het liefst dus een routertje) één vpn verbinding met thuis op kan zetten…

Methode is goed, echter geen Russisch roulette instellen maar IPsec.

In 2015 is hierover ook al geschreven op het engelse forum: forum.synology.com
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 54
  • Berichten: 611
Re: L2TP met of zonder IKE
« Reactie #13 Gepost op: 27 augustus 2017, 20:30:04 »
Die keus is er dus niet dus moet ik concluderen dat de wr710n mijn wensen niet in vervulling kan doen gaan ?
Wat me dan wel verbaast is dat aan de serverkant - op de ds114 dus - wél L2TP/IPSEC staat ingesteld en het routertje, waar dat dus blijkbaar niet zo is, er toch mee kan communiceren. Hoe kan dat dan ? De ds114 versleutelt de verbinding met IPSEC en het reisroutertje dat geen IPSEC kent kan wel óntsleutelen ?
DS1817+ met 8 X WD30EFRX in SHR-2 configuratie BTRFS als fileserver
DS718+ met 2 X WD10CFJX VPN/SS/Backup/Caldav/Carddav
DS116 met WD20EFRX als test-NAS

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.015
Re: L2TP met of zonder IKE
« Reactie #14 Gepost op: 27 augustus 2017, 20:44:00 »
Blijkbaar werkt de server op de nas toch anders dan ik dacht. Waarschijnlijk kun je het vergelijken met http / https. Als je IPsec gebrukkt, wordt de verbinding met de gedeelde sleutel gecodeerd. Als je zonder sleutel verbind, gebruik je alleen L2TP zonder verbindingscodering.

Het is dus jammer dat die codering niet afgedwongen wordt. Als nu iemand zonder codering werkt, kan waarschijnlijk ook het wachtwoord beter onderschept worden. Een MS-Chap v2 inlog zonder verdere encryptie is nog redelijk veilig, maar krachtige computers zouden dat kunnen kraken.

Op mijn mac cliënt heb ik echter geen optie om die sleutel leeg te laten. Op het Engelse forum zie ik echter diverse reacties van mensen die automatische instelling van de setting gebruikten onder Windows en dan zonder de key verbinden. De meeste mensen gaan ervan uit dat VPN altijd encrypted is.  :wtf:
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

L2TP -> iPhone 7

Gestart door kevin53378Board VPN Server

Reacties: 6
Gelezen: 975
Laatste bericht 21 juni 2017, 22:40:39
door kevin53378
kan regelmatig niet verbinden met Ipad via L2TP

Gestart door canedjeBoard VPN Server

Reacties: 7
Gelezen: 1332
Laatste bericht 02 december 2017, 18:21:40
door hanspaint
VPN server: Geen verbinding mogelijk met DS112 over L2TP/IPsec via Ziggo (UBEE3

Gestart door BoertjeBoard VPN Server

Reacties: 24
Gelezen: 23936
Laatste bericht 16 januari 2015, 10:18:53
door Ben(V)
VPN L2TP verbreekt automatisch

Gestart door dirklammersBoard VPN Server

Reacties: 6
Gelezen: 1720
Laatste bericht 26 november 2017, 17:47:32
door dirklammers
VPN L2TP/IPSec of PPTP

Gestart door r3vquBoard VPN Server

Reacties: 5
Gelezen: 2667
Laatste bericht 30 april 2014, 23:04:30
door Richard67