Хорошо

L2TP over IPSEC. Huawei AR2204

Опубликовано 2021-2-10 17:17:45Последний ответ фев 18, 2021 09:37:34 712 10 0 0 0
  Награжденные Форбаллы: 0 (Проблема решена)


Hello. (AR2200 V200R009C00SPC500 
Help with L2TP over IPSec setup for remote users. I made the setting according to the instructions 
 The problem is that users connect with an unspecified or incorrect pre shared key. How do I prevent users from connecting without a pre shared key?

Config:

ike peer vpnusers

 undo version 2

 pre-shared-key cipher %^%#xzHGU^TL^3f;5nY[8%;8~:[W<dD1KEH.t+9c-kl1%^%#

 ike-proposal 5




ike proposal 5

 encryption-algorithm 3des

 dh group2

 authentication-algorithm sha1

 authentication-method pre-share

 integrity-algorithm hmac-sha2-256

 prf hmac-sha2-256


ipsec proposal vpnusers

 encapsulation-mode transport

 esp authentication-algorithm sha1

 esp encryption-algorithm aes-256

#


ipsec policy-template vpnuser 10

 ike-peer vpnusers

 proposal vpnusers


ipsec policy vpnusers1 10 isakmp template vpnuser



interface GigabitEthernet0/0/16 #WAN interface

ip address 192.168.1.1 255.255.255.128

 nat outbound 3003

 zone untrust

 traffic-filter inbound acl 3004

 ipsec policy vpnusers1



acl number 3001

 rule 5 permit udp destination-port eq 1701

 rule 10 permit udp destination-port eq 4500

 rule 15 permit udp destination-port eq 500


acl number 3003

rule 9 permit ip

acl number 3004

 rule 5 permit tcp source 192.168.0.0 0.0.0.255 source-port eq 22

 rule 10 permit tcp source 192.168.100.0 0.0.1.255 source-port eq 22

 rule 15 permit tcp source 177.217.48.201 0 source-port eq 22

 rule 20 permit tcp source 177.217.45.201 0 destination-port eq 22

 rule 25 deny tcp destination-port eq 22

 rule 30 deny tcp destination-port eq 8080


interzone trust untrust

 firewall enable

 packet-filter default deny inbound

 packet-filter default permit outbound

 packet-filter 3001 inbound




interface Virtual-Template1

 ppp authentication-mode chap domain lenovo.loc

 ppp ipcp dns 192.168.6.30

 ip address 192.168.12.1 255.255.255.0


l2tp-group 1

 mandatory-chap

 undo tunnel authentication

 allow l2tp virtual-template 1


  • x

Избранные ответы

Лучший ответ

Рекомендуемые ответы

GD_HNET
Опубликовано 2021-2-13 20:17:33

If you are describing 1st phase of establishing ipsec tunnel, i can't see any problem.
Configuration is fine, isakmp should use configured pre-shared-key.
In that case you need to open a ticket in Huawei TAC.

If you have possibility to do a debug of connection with wrong psk it can help to understand where is the problem more precisely.

Развернуть
  • x

viktor65
viktor65 Опубликовано 2021-2-18 09:21:34
To prevent users from connecting l2tp, you need to create a rule and disable udp 1701
acl 3004
1. rule 35 deny udp destination-port eq 1701
add interface to wan
2.traffic-filter inbound acl 3004
Развернуть
  • x

Все ответы
viktor65
viktor65 Опубликовано 2021-2-10 17:22:31
instructions
Развернуть
  • x

user_2909167
user_2909167 Модератор Опубликовано 2021-2-12 14:15:46
Добрый день. Правильно ли понял что проблемв в том что пользователи вводят неправильный psk?
Развернуть
  • x

GD_HNET
GD_HNET Опубликовано 2021-2-13 18:56:54
Проблема в том, что пользователи подключаются даже с не верно указным значение pre-shared-key.
Развернуть
  • x

GD_HNET
GD_HNET Опубликовано 2021-2-13 20:17:33

If you are describing 1st phase of establishing ipsec tunnel, i can't see any problem.
Configuration is fine, isakmp should use configured pre-shared-key.
In that case you need to open a ticket in Huawei TAC.

If you have possibility to do a debug of connection with wrong psk it can help to understand where is the problem more precisely.

Развернуть
  • x

user_2909167
user_2909167 Модератор Опубликовано 2021-2-15 12:09:12
ДД. Думаю лучше обатиться в ТАС для проверки настроек и изучения диагностики cissupport@huawei.com
Развернуть
  • x

viktor65
viktor65 Опубликовано 2021-2-15 12:11:03

Hello. Doesn't connect with wrong psk. Connected if I do not specify psk, that is, l2tp without ipsec. Also connects with correct psk L2tp over IPsec.

Развернуть
  • x

viktor65
viktor65 Опубликовано 2021-2-15 12:14:42
Опубликовано пользователем user_2909167 в 2021-02-15 12:09 ДД. Думаю лучше обатиться в ТАС для проверки настроек и ...
Thank. I made a request to support. I thought the forum would be able to help. I will write how we will solve the problem.
Развернуть
  • x

GD_HNET
GD_HNET Опубликовано 2021-2-15 19:44:43

If it is about l2tp authentication why did you turn it off by command undo tunnel authentication?


l2tp-group 1
mandatory-chap
undo tunnel authentication
allow l2tp virtual-template 1

Развернуть
  • x

viktor65
viktor65 Опубликовано 2021-2-18 09:21:34
To prevent users from connecting l2tp, you need to create a rule and disable udp 1701
acl 3004
1. rule 35 deny udp destination-port eq 1701
add interface to wan
2.traffic-filter inbound acl 3004
Развернуть
  • x

12
К списку

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.