The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"pfsense, l2tp и постоянные попытки коннекта"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Разное / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"pfsense, l2tp и постоянные попытки коннекта"  +/
Сообщение от Olenevodemail (ok), 15-Янв-24, 16:02 
есть МСЭ на базе pfSense 2.7, на нём установлен L2TP сервер, около 100 клиентов. Авторизация через RADIUS сервер на базе MS NPS + AD. Возникла следующая ситуация:
раз в пять секунд идёт входящий звонок на Pfsense
Jan 15 15:29:59     l2tps     47858     L2TP: Control connection 0x185218dc0110 xxx.xxx.xxx.xxx 1701 <-> yyy.yyy.yyy.yyy 1701 connected  (где ххх - адрес интерфейса pfSense, на котором поднят L2TP сервер)
Jan 15 15:29:59     l2tps     47858     L2TP: Incoming call #99049 via connection 0x185218dc0110 received
Jan 15 15:29:59     l2tps     47858     [l2tp_l-67] L2TP: Incoming call #99049 via control connection 0x185218dc0110 accepted  
открывается линк,  идёт попытка синхронизации протокола шифрования логин-пароля. но нет
Jan 15 15:29:59     l2tps     47858     [l2tp_l-67] LCP: auth: peer wants nothing, I want CHAP
Тем не менее, логин-пароль отправляются на радиус, где благополучно отклоняются
Jan 15 15:29:59     l2tps     47858     [l2tp_l-67] RADIUS: Authenticating user 'Aleksandra'
Jan 15 15:29:59     l2tps     47858     [l2tp_l-67] RADIUS: Rec'd RAD_ACCESS_REJECT for user 'Aleksandra'
после чего идёт разрыв соединения.

Jan 15 15:29:59     l2tps     47858     [l2tp_l-45] Link: Shutdown
а дальше интересно. Идёт новый звонок, но уже без указания ip подключения, просто incoming Call #99050 и по кругу. До тех пор пока не проходит следующая запись
Jan 15 15:53:46     l2tps     47858     L2TP: Control connection 0x185218dc0110 terminated: 0 (no more sessions exist in this tunnel)
и вот тогда снова первой записью очерезного звонка будет запись с указанием ip адресов.
попытка в файрволле закрыть все входящие с адреса yyy на интерфейсе WAN с перезапуском l2tp сервера ни к чему не привели. Звонки продолжаются. Вот как с этим бороться?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "pfsense, l2tp и постоянные попытки коннекта"  +/
Сообщение от Ann None (?), 16-Янв-24, 18:03 
> попытка в файрволле закрыть все входящие с адреса yyy на интерфейсе WAN
> с перезапуском l2tp сервера ни к чему не привели.

забыл что l2tp это во-первых udp и во-вторых внутри ipsec и наблокировал не то?

Ответить | Правка | Наверх | Cообщить модератору

2. "pfsense, l2tp и постоянные попытки коннекта"  +/
Сообщение от Olenevodemail (ok), 17-Янв-24, 10:07 
>> попытка в файрволле закрыть все входящие с адреса yyy на интерфейсе WAN
>> с перезапуском l2tp сервера ни к чему не привели.
> забыл что l2tp это во-первых udp и во-вторых внутри ipsec и наблокировал
> не то?

нет, тут всё хуже, после обновления с 2.6 на 2.7 и ликвидацией DES часть клиентов перешла на чистый l2tp (рекламируют лайфхак с правкой виндового реестра и параметра prohibitipsec). Но я Блокиоровал любые udp соединения с этого адреса. И на интерфейсе IPSEC тоже блокировал.
Сегодня ночью отключил на 5 часов l2tp сервер. И вот результаты. 1. Сменился ip с которого идут запросы, но провайдер тот же. 2. сбросился счётчик звонков. 3. В файрволле в правиле пропуска l2tp зафиксировал доступ с нового адреса. Но на этом всё.
Простой перезапуск l2tp сервера с простоем в 5 минут не сбрасывает счётчик звонков, и в файрволле больше не появляется запись о прохождении пакетов, но в журнале l2tp они фиксируются так, как указано выше.


Ответить | Правка | Наверх | Cообщить модератору

3. "pfsense, l2tp и постоянные попытки коннекта"  +/
Сообщение от Olenevodemail (ok), 22-Янв-24, 11:18 
>[оверквотинг удален]
> DES часть клиентов перешла на чистый l2tp (рекламируют лайфхак с правкой
> виндового реестра и параметра prohibitipsec). Но я Блокиоровал любые udp соединения
> с этого адреса. И на интерфейсе IPSEC тоже блокировал.
> Сегодня ночью отключил на 5 часов l2tp сервер. И вот результаты. 1.
> Сменился ip с которого идут запросы, но провайдер тот же. 2.
> сбросился счётчик звонков. 3. В файрволле в правиле пропуска l2tp зафиксировал
> доступ с нового адреса. Но на этом всё.
> Простой перезапуск l2tp сервера с простоем в 5 минут не сбрасывает счётчик
> звонков, и в файрволле больше не появляется запись о прохождении пакетов,
> но в журнале l2tp они фиксируются так, как указано выше.

в общем, выяснил. правила Pfsense действуют по умолчанию на вновь устанавливаеемые соединениия. Причем, даже остановка l2tp сервера уже установленные не сбрасывает. Поэтому, вновь созданные правила на установленные соединения не действуют. Пришлось остановить l2tp сервер, найти в закладке State эти соединения, сбросить их, после чего только запретное правило начало действовать. Запустил l2tp сервер. клиент ломится, но теперь дальше фиреволла не проходит.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру