Auteur Topic: L2TP met of zonder IKE  (gelezen 1858 keer)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 33
  • Berichten: 486
L2TP met of zonder IKE
« Gepost op: 26 augustus 2017, 20:36:33 »
Ik maak op mijn DS114 gebruik van een VPN server op basis van het L2TP protocol. Bij de instellingen wordt gevraagd bij IKE een sleutel op te geven. Die sleutel moet ik ook invoeren op b.v. mijn ipad als ik daar een vpn verbinding wil instellen.
Maar tot mijn verbazing kan ik met mijn WR710N reisrouter verbinding maken met mijn vpn server zónder dat de router om die sleutel vraagt  :o
Is die IKE sleutel blijkbaar optioneel en is mijn verbinding zónder die sleutel nu wel veilig ?
DS1817+ met 8 X WD30EFRX in SHR-2 configuratie BTRFS als fileserver
DS716+II met 2 X SSD VPN/SS/Backup/Caldav/Carddav
DS114 voor testdoeleinden

Ben(V)

  • Gast
Re: L2TP met of zonder IKE
« Reactie #1 Gepost op: 27 augustus 2017, 09:38:00 »
Ik snap niet helemaal wat je bedoelt met een VPN verbinding maken met je reisrouter.
Die WR710N heeft helemaal geen VPN functionaliteit aan boord dus die kan geen VPN verbinding opzetten.
Het enige wat je in die reisrouter in moet/kan instellen is VPN passthrough, zodat hij het VPN verkeer doorlaat.

Ik weet niet wat je als VPN client gebruikt, maar je PC slaat bijvoorbeeld die IKE op in de registry, dus die geef je alleen bij het instellen van de VPN client op en daarna hoef je bij het opzetten van een VPN connectie alleen username/password in te geven.
Ik vermoed dat de meeste clients dat zo doen.

Is een van de redenen dat de meeste mensen OpenVpn gebruiken, want een passkey in de registry opslaan is nauwelijks meer secure dan alleen maar een username/password te gebruiken.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 334
  • -Ontvangen: 842
  • Berichten: 5.081
Re: L2TP met of zonder IKE
« Reactie #2 Gepost op: 27 augustus 2017, 15:09:15 »
Bij OpenVPN heb je evengoed dat certificaten, eventuele extra keys en configuratiebestand ook gewoon op je PC zijn opgeslagen.
Wat maakt dat OpenVPN dan beter beveiligd zou zijn?
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....
NVDIA Shield TV Pro (2019) als mediaspeler.....

Ben(V)

  • Gast
Re: L2TP met of zonder IKE
« Reactie #3 Gepost op: 27 augustus 2017, 15:15:06 »
Het feit dat het een certificate is en niet een simpele string.

Voor uitleg lees dit eens.
https://techblognow.wordpress.com/2015/02/20/x-509-certificates-explained/

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 131
  • -Ontvangen: 1914
  • Berichten: 12.747
Re: L2TP met of zonder IKE
« Reactie #4 Gepost op: 27 augustus 2017, 15:58:23 »
… ook gewoon op je PC zijn opgeslagen.…

Als je PC niet goed beveiligd is en men heeft toegang tot je PC, zal het inderdaad niets uitmaken of je PPTP of OpenVPN gebruikt. Het certificaat zal bij OpenVPN leesbaar op je PC staan. (Dat ga je niet uit je hoofd intikken) Het wachtwoord heb je in de hand door het niet op te laten slaan.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 33
  • Berichten: 486
Re: L2TP met of zonder IKE
« Reactie #5 Gepost op: 27 augustus 2017, 16:08:03 »
Ik snap dat ik het misschien niet duidelijk heb uitgelegd. In plaats van dat al mijn apparaten die we tijdens de vakantie gebruiken een eigen VPN-verbinding maken met mijn DS114 zou ik willen dat de reisrouter WR710N die VPN verbinding opzet en dan deelt.
Ik gebruik die router al om in WISP mode de wifi verbinding op het vakantie-adres te delen. Soms omdat je maar één apparaat kunt aansluiten, maar ook om niet in elk apparatuur de soms ellenlange sleutel van het wifi-punt van het vakantie adres te moeten inkloppen.

Maar .... volgens mij heb ik de oplossing gevonden. Zie ook de bijlagen. In de eerste schemafdruk zie je de instellingen van mijn VPN-server. Daarin is ook een sleutel voor IKE verificatie opgenomen. Als ik met een iPhone een VPN verbinding opzet moet ik de sleutel ook ingeven op mijn iPhone.

Maar het lukt me nu ook om met de WR710N in te loggen op mijn VPN-server, zie tweede schermafdruk. Als ik nu alle apparaten verbindt met die WR710N heb ik automatisch een (gedeelde) VPN verbinding op alleapparaten. Maar mij valt dus op dat ik voor het verbinden van die WR710N met m'n VPN server GEEN IKE-sleutel hoef in te geven. Ik heb altijd gedacht dat die sleutel een extra noodzakelijke veiligheid was, vandaar mijn verbazing.

Volgens mij werkt het nu goed, want ik kan nu op elk apparaat direct m'n interne IP-adressen van thuis benaderen.

Blijft dus mijn vraag of die VPN verbinding zonder IKE sleutel nu wel zo veilig is.

Dirk
DS1817+ met 8 X WD30EFRX in SHR-2 configuratie BTRFS als fileserver
DS716+II met 2 X SSD VPN/SS/Backup/Caldav/Carddav
DS114 voor testdoeleinden

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 334
  • -Ontvangen: 842
  • Berichten: 5.081
Re: L2TP met of zonder IKE
« Reactie #6 Gepost op: 27 augustus 2017, 16:17:03 »
Vind het ook vreemd, normaal zonder sleutel (vanuit bijv. een smartphone of tablet) kan ik geen L2TP/IPSec VPN-verbinding opzetten.
Het verschil met je WR710N reisrouter is misschien die vreemde benoeming in je screenshot als  "Russische"  LT2P verbinding???
Vertrouw nooit op Russische verbindingen  :o  ;)
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....
NVDIA Shield TV Pro (2019) als mediaspeler.....

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 334
  • -Ontvangen: 842
  • Berichten: 5.081
Re: L2TP met of zonder IKE
« Reactie #7 Gepost op: 27 augustus 2017, 16:22:47 »
Als je PC niet goed beveiligd is en men heeft toegang tot je PC, zal het inderdaad niets uitmaken of je PPTP of OpenVPN gebruikt. Het certificaat zal bij OpenVPN leesbaar op je PC staan. (Dat ga je niet uit je hoofd intikken) Het wachtwoord heb je in de hand door het niet op te laten slaan.

Zo bedoelde ik dat.  Je hoeft de extra sleutel niet op te slaan, (gebruikers inlognaam en wachtwoord ook niet).
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....
NVDIA Shield TV Pro (2019) als mediaspeler.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 131
  • -Ontvangen: 1914
  • Berichten: 12.747
Re: L2TP met of zonder IKE
« Reactie #8 Gepost op: 27 augustus 2017, 18:13:17 »
Klinkt ook als Russisch roulette.  :P

Bij mijn weten is die pre-shared key een essentieel onderdeel van L2TP/IPsec. Als ik daar een verkeerde naam invul, dan werkt het niet. Het zou dan vreemd zijn dan je dan wel via een cliënt kunt verbinden die de hele key weglaat.

Die bolletjes in je screenshot suggereren dat je iets ingevuld hebt, maar ik neem aan de jij de hele key gewist hebt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 334
  • -Ontvangen: 842
  • Berichten: 5.081
Re: L2TP met of zonder IKE
« Reactie #9 Gepost op: 27 augustus 2017, 18:28:07 »
Die bolletjes is gewoon het wachtwoord van het inlog account (dus van een gebruiksaccount om de VPN op te zetten).
Maar zie geen veld om de extra sleutel in te vullen.  Dat zit hem dan wellicht in die "Russische" connectie??

Verder verbazen me de instellingen voor lokale IP-adressen in dat 2e screenshot van die WR710N reisrouter.
Dat hoort helemaal niet bij een set-up voor een VPN-Client.
Enkel het internet WAN IP-adres zou in een profiel voor een VPN Client ingesteld moeten worden.

Dus ik vermoed dat hij in het verkeerde menu bezig is, en misschien nu wel test vanuit zijn LAN netwerk, waarbij je een "normale" netwerk connectie hebt.  Dus zou er in dat geval mogelijk helemaal geen sprake zijn van een VPN-connectie?
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....
NVDIA Shield TV Pro (2019) als mediaspeler.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 131
  • -Ontvangen: 1914
  • Berichten: 12.747
Re: L2TP met of zonder IKE
« Reactie #10 Gepost op: 27 augustus 2017, 18:29:24 »
Ik zou zeggen dat het niet veilig is. Ik vond hier een vergelijkbare "Russia" instelling bij nordvpn.com.

Daar schrijven ze expliciet voor deze Russia manier van verbinden:
Citaat
Please note, that L2TP alone does not encrypt your traffic, it only reroutes you through one of our servers. Please use it at your own risk. This does not apply to L2TP/IPsec.

Die bolletjes is gewoon het wachtwoord van het inlog account…

Ik bedoel natuurlijk de bolletjes in het DSM venster voor de IKE key. Bij dat andere plaatje is het eenduidig.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 33
  • Berichten: 486
Re: L2TP met of zonder IKE
« Reactie #11 Gepost op: 27 augustus 2017, 19:22:19 »
Bij de bolletjes in de eerste screenshot staat wel degelijk een key en die heb ik ook nodig als ik rechtstreeks vanuit een iPhone een vpn verbinding wil opzetten. De suggestie dat ik nu vanuit mijn eigen lan test klopt niet. Ik ben wel degelijk nu op vakantie en heb dus m'n reisroutertje als wisp ingesteld om 5 devies via de locale WiFi verbinding te laten lopen. Omdat ik dus nu direct mijn lokale op adressen kan benaderen is er dus wel degelijk sprake van een vpn verbinding met thuis.
Maar ik snap ook jullie zorgen over het feit dat de reisrouter als vpn client niet om de key vraagt. Dat vond ik dus ook verdacht en vandaar mijn vraag aan jullie.

Oké, blijft dus mijn vraag hoe ik met één client ( het liefst dus een routertje) één vpn verbinding met thuis op kan zetten en die vervolgens kan delen met mijn vijf devices.
Dat lijkt me namelijk handiger dan dat ik op alle devices apart een vpn verbinding moet opzetten.

Dirk
DS1817+ met 8 X WD30EFRX in SHR-2 configuratie BTRFS als fileserver
DS716+II met 2 X SSD VPN/SS/Backup/Caldav/Carddav
DS114 voor testdoeleinden

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 131
  • -Ontvangen: 1914
  • Berichten: 12.747
Re: L2TP met of zonder IKE
« Reactie #12 Gepost op: 27 augustus 2017, 20:18:00 »
Oké, blijft dus mijn vraag hoe ik met één client ( het liefst dus een routertje) één vpn verbinding met thuis op kan zetten…

Methode is goed, echter geen Russisch roulette instellen maar IPsec.

In 2015 is hierover ook al geschreven op het engelse forum: forum.synology.com
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 33
  • Berichten: 486
Re: L2TP met of zonder IKE
« Reactie #13 Gepost op: 27 augustus 2017, 20:30:04 »
Die keus is er dus niet dus moet ik concluderen dat de wr710n mijn wensen niet in vervulling kan doen gaan ?
Wat me dan wel verbaast is dat aan de serverkant - op de ds114 dus - wél L2TP/IPSEC staat ingesteld en het routertje, waar dat dus blijkbaar niet zo is, er toch mee kan communiceren. Hoe kan dat dan ? De ds114 versleutelt de verbinding met IPSEC en het reisroutertje dat geen IPSEC kent kan wel óntsleutelen ?
DS1817+ met 8 X WD30EFRX in SHR-2 configuratie BTRFS als fileserver
DS716+II met 2 X SSD VPN/SS/Backup/Caldav/Carddav
DS114 voor testdoeleinden

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 131
  • -Ontvangen: 1914
  • Berichten: 12.747
Re: L2TP met of zonder IKE
« Reactie #14 Gepost op: 27 augustus 2017, 20:44:00 »
Blijkbaar werkt de server op de nas toch anders dan ik dacht. Waarschijnlijk kun je het vergelijken met http / https. Als je IPsec gebrukkt, wordt de verbinding met de gedeelde sleutel gecodeerd. Als je zonder sleutel verbind, gebruik je alleen L2TP zonder verbindingscodering.

Het is dus jammer dat die codering niet afgedwongen wordt. Als nu iemand zonder codering werkt, kan waarschijnlijk ook het wachtwoord beter onderschept worden. Een MS-Chap v2 inlog zonder verdere encryptie is nog redelijk veilig, maar krachtige computers zouden dat kunnen kraken.

Op mijn mac cliënt heb ik echter geen optie om die sleutel leeg te laten. Op het Engelse forum zie ik echter diverse reacties van mensen die automatische instelling van de setting gebruikten onder Windows en dan zonder de key verbinden. De meeste mensen gaan ervan uit dat VPN altijd encrypted is.  :wtf:
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

SSL verplicht voor L2TP?

Gestart door AchoBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 4
Gelezen: 665
Laatste bericht 23 augustus 2017, 16:23:29
door Birdy
VPN Problemen L2TP

Gestart door MiranoVBoard VPN Server

Reacties: 2
Gelezen: 592
Laatste bericht 29 november 2017, 14:13:20
door Briolet
VPN L2TP wél op netwerk niet extern

Gestart door p.hulshoffBoard VPN Server

Reacties: 5
Gelezen: 429
Laatste bericht 26 mei 2020, 20:45:07
door p.hulshoff
VPN over afstand l2TP/IPSec vragen

Gestart door sjorsdkBoard VPN Server

Reacties: 25
Gelezen: 5371
Laatste bericht 25 maart 2015, 13:25:27
door sjorsdk
VPN l2tp via Quickconnect iPhone

Gestart door SynoPinoBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2199
Laatste bericht 08 oktober 2015, 14:59:44
door SynoPino
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.