Přechod z L2TP/IPsec na Wireguard nebo IKEv2

Přechod z L2TP/IPsec na Wireguard nebo IKEv2
« kdy: 21. 01. 2023, 19:44:12 »
Ahoj,

potřebuji poradit. S Androidem 12 u některých telefonů zmizela podpora pro L2TP/IPsec VPN, kterou používám na přístup domů.
Nezjistil jsem jak zprovoznit L2TP/IPsec na těchto nových zařízeních, zřejmě to nejde, Prohledal jsem různá fora.
Takže budu muset přejít na IKEv2 nebo wireguard. 
Domů je na VPN připojená i síť z chalupy ne jen telefony.

1. Co byste si vybrali?

Já si asi půjdu do wireguard. IKEv2 zřejmě zase nepodporují jiná starší zařízení (Android 10) co mám nebo to v nich není vidět na první pohled. Wireguard klienti jsou pro vše co používám.

2. Může běžet wireguard zároveň s původní L2TP/IPsec, z dokumentace se mi zdá, že ano. Alespoň dočasně než vše překonfiguruji. Je to tak? To by možná nakonec bylo nejlepší řešení.

3. Moje domácí adresa je veřejná, ale není statická. To jsem pochopil je trochu problém, protože klienti Wireguard dělají resolve adresy jen při spuštění. To chci řešit u propojení sítí (chalupa) přes watchdog a restart nebo skriptem. Řešil jste to někdo jinak? Na chalupě je také Mikrotik. V telefonu si prostě pustím klient znovu.

Díky za rady
Martin


Re:Přechod z L2TP/IPsec na Wireguard nebo IKEv2
« Odpověď #1 kdy: 21. 01. 2023, 20:52:49 »
Já mám v nabídce (systémových typů vpn) IKE+IPSEC, IPSEC, L2TP+IPSEC, nezkoušel jsem jestli ve skutečnosti fungují jelikož používám aplikaci wireguard pro dodání tohoto typu VPN. LineageOS18 = Android 11

*zkrátil jsem seznam, Ipsec má víc podvariant PSK,RSA, Hybrid, MSCHAP

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:Přechod z L2TP/IPsec na Wireguard nebo IKEv2
« Odpověď #2 kdy: 22. 01. 2023, 00:50:44 »
2. Může běžet wireguard zároveň s původní L2TP/IPsec, z dokumentace se mi zdá, že ano. Alespoň dočasně než vše překonfiguruji. Je to tak? To by možná nakonec bylo nejlepší řešení.

Áno, môže. Môžeš mať naraz všetky tri, L2TP, IKEv2 a wireguard a každý klient môže používať tú, pre ktorú má najlepšiu podporu. Resp. môžeš migrovať postupne.

3. Moje domácí adresa je veřejná, ale není statická. To jsem pochopil je trochu problém, protože klienti Wireguard dělají resolve adresy jen při spuštění. To chci řešit u propojení sítí (chalupa) přes watchdog a restart nebo skriptem. Řešil jste to někdo jinak? Na chalupě je také Mikrotik. V telefonu si prostě pustím klient znovu.

Toto nerieš. Áno, wg klient resolvuje iba pri inicializácii spojenia, ale to je v poriadku. Resolvnutie mena je len na to, aby vedel kam poslať prvý paket, keď nadväzuje spojenie. Keď je už spojenie autentifikované, na ip adrese už nezáleží; odpovedá na poslednú známu ip. Keď sa na druhej strane zmení a pakety začnú chodiť z novej ip, tak na tu novú ip bude odpovedať.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Přechod z L2TP/IPsec na Wireguard nebo IKEv2
« Odpověď #3 kdy: 22. 01. 2023, 02:38:52 »
Keď sa na druhej strane zmení a pakety začnú chodiť z novej ip, tak na tu novú ip bude odpovedať.
Ale tohle nemůže fungovat když je klient za NATem, ne? Protože „serveru“ se změní adresa, řekněme že teda bude posílat pakety na původní, ale to je NAT který nebude schopen poznat, jak to má přeložit a kam za sebe doručit (pokud udržuje informace o spojení ve tvaru (cílová adresa, port). Slyšel jsem že jsou i NATy co koukají jen na svůj port, nevím který je jak běžný). A pak se taky server může restartovat (to mi přijde jako úplně pravděpodobný scénář: vypadne elektřina, a tím se restartuje server a současně hardware ISP, který dostane novou adresu) a pak vůbec neví jaká spojení na které adresy měl navázaná.

Každopádně jestli se tohle fakt děje (resolv jen při spuštění -- což je asi způsobeno tím, že kernelové WG implementaci se musí předat adresa protistrany, protože těžko bude dělat vlastní resolving, a pak už na to userspace nikdy nesáhne?), tak to je další taková… um… nečekaná věc. Že si člověk třeba změní DNS a až do restartu se nedostane na WG klienty…
« Poslední změna: 22. 01. 2023, 02:40:46 od _Jenda »

Re:Přechod z L2TP/IPsec na Wireguard nebo IKEv2
« Odpověď #4 kdy: 23. 01. 2023, 18:02:49 »
Díky za poznámky, pokusím se prostě zprovoznit wireguard k již běžícímu VPN.