Auteur Topic: L2TP met of zonder IKE  (gelezen 4556 keer)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 127
  • Berichten: 1.020
Re: L2TP met of zonder IKE
« Reactie #15 Gepost op: 27 augustus 2017, 21:10:51 »
Klinkt logisch. Als dus een client zonder versleuteling wil connecten dan staat de server op de DS dat gewoon toe. Maar onversleutelde vpn lijkt me niet zo zinvol. Hooguit een voordeel dat je op afstand onderdeel wordt van je thuis-lan maar als dan vervolgens alles onbeveiligd over de lijn gaat geeft me dat geen goed gevoel. Jammer, het leek me een mooie oplossing.
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS720+ met 2 X WD30EFRX VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: L2TP met of zonder IKE
« Reactie #16 Gepost op: 27 augustus 2017, 21:15:08 »
Bij de bolletjes in de eerste screenshot staat wel degelijk een key en die heb ik ook nodig als ik rechtstreeks vanuit een iPhone een vpn verbinding wil opzetten.

Maar bij je 2e screenshot niet, en die is van de instelling van je WR710N reisrouter.
Ik ken die reisrouter niet, vandaar de voor mij wat vreemde instellingen voor een VPN Client.
De instellingen van het LAN zijn kennelijk die van je reisrouter als lokaal LAN.  Enkele routers die ik ken met VPN Client instellingen, komen bij het instellen van een VPN Client profiel alleen de instellingen voor van een WAN IP-adres (of domeinnaam) van de server waar je mee wilt verbinden, niet die van het lokale LAN. Idem bij profielen die je instelt apart in PC's en mobiele apparaten.

Als de verbinding zonder sleutel gemaakt kan worden, terwijl die wel is opgegeven, zou ik er niet op vertrouwen.
Verbaast me wel dat het überhaupt mogelijk is, en de NAS dat toestaat.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 127
  • Berichten: 1.020
Re: L2TP met of zonder IKE
« Reactie #17 Gepost op: 27 augustus 2017, 21:43:53 »
Het ip adres dat ik op het tweede screenshot heb doorgestreept is inderdaad mijn thuis ip adres. Ik vond het dus logisch dat ik daarmee samen met inlogcodes van de vpn server connectie kon maken met mijn vpn server. Maar inmiddels begrijp ik dus dat het geen versleutelde veilige verbinding is.
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS720+ met 2 X WD30EFRX VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: L2TP met of zonder IKE
« Reactie #18 Gepost op: 27 augustus 2017, 22:22:08 »
Ik ben nog eens door de specificaties van het L2PT protocol gelopen: https://tools.ietf.org/html/rfc3193

Vooral hoofdstuk 2.1 is in dit punt interessant:

Citaat
To meet the above requirements, all L2TP security compliant  implementations MUST implement IPsec ESP for securing both L2TP  control and data packets.  Transport mode MUST be supported; tunnel mode MAY be supported.  All the IPsec-mandated ciphersuites (described in RFC 2406 [4] and RFC 2402 [3]), including NULL encryption MUST be supported.  Note that although an implementation  MUST support all IPsec ciphersuites, it is an operator choice which ones will be used.  If confidentiality is not required (e.g., L2TP data traffic), ESP with NULL encryption may be used.  The implementations MUST implement replay protection mechanisms of IPsec.

Het is dus zelfs verplicht onder L2PT dat er een mogelijkheid is om zonder encryptie te verbinden. Dat je dus zonder PSK kunt verbinden is geen bug.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

L2TP -> iPhone 7

Gestart door kevin53378Board VPN Server

Reacties: 6
Gelezen: 1448
Laatste bericht 21 juni 2017, 22:40:39
door kevin53378
VPN L2TP verbreekt automatisch

Gestart door dirklammersBoard VPN Server

Reacties: 6
Gelezen: 2555
Laatste bericht 26 november 2017, 17:47:32
door dirklammers
kan regelmatig niet verbinden met Ipad via L2TP

Gestart door canedjeBoard VPN Server

Reacties: 7
Gelezen: 2017
Laatste bericht 02 december 2017, 18:21:40
door hanspaint
VPN server: Geen verbinding mogelijk met DS112 over L2TP/IPsec via Ziggo (UBEE3

Gestart door BoertjeBoard VPN Server

Reacties: 24
Gelezen: 27263
Laatste bericht 16 januari 2015, 10:18:53
door Ben(V)
IP adres bij gebruik VPN Plus anders dan bij L2TP

Gestart door pauljbBoard Synology Router

Reacties: 2
Gelezen: 963
Laatste bericht 05 augustus 2019, 19:08:45
door pauljb