Pomoc SSTP, L2TP - VPN problem

fnx

Entry Technician
Q Associate
28 Marzec 2021
53
5
8
QNAP
null
Ethernet
1 GbE
Witam,

próbuję przy pomocy Qvpn services 2 połączyć się przez klienta z VPN w mojej firmie i nie idzie.

Do firmy mogę się wbić poprzez SSTP lub L2TP.

SSTP niestety na qnapie nie istnieje, a pewnie to by rozwiązało problem.

Natomiast przy pomocy L2TP nie łączy mi się wogóle. Porty przekierowane, nawet dla testów wystawiłem Qnap całkiem na świat ale to nic nie dało.

Przypuszczam, że problem leży w konfiguracji bo tam prócz adresu serwera vpn, usera, pass trzeba wbić klucz wstępny, który wpisałem ale dodatkowo od kolegi dostałem coś takiego:
Hash alg: sha256
Encyption alg aes256
DH...
Lifetime...

Tych parametrów nie mam w oknie konfiguracji. Da się to gdzieś wpisać?
Miał ktoś podobny problem z tym?
 
W L2TP nie ma hash i encryption, jest to w Site-to-site ip sec. Więc kumpel wystawił Ci innego VPNa. Dodatkowo, jak Ty się łączysz do niego - nie wystawiasz żadnych portów. To jest potrzebne, jak chcesz się dobić do swojego serwera.
 
W L2TP nie ma hash i encryption, jest to w Site-to-site ip sec. Więc kumpel wystawił Ci innego VPNa. Dodatkowo, jak Ty się łączysz do niego - nie wystawiasz żadnych portów. To jest potrzebne, jak chcesz się dobić do swojego serwera.

Thx. Czyli to pewnie FortiGate albo coś innego muszę go podpytać.

Rozumiem, że się nie mylę, iż dla qnapa nie ma klienta sstp?
 
SSTP to badziewie pokroju PPTP, czyli: jak najdalej od tego. Nie wiem, jakie VPN może wystawić fortigate, ale jak zależy Ci na IPsecu, to robisz to z poziomu routera - jak masz klasę wyżej niż TP-Link. Być może, może Ci wystawić OpenVPN.
 
SSTP to badziewie pokroju PPTP, czyli: jak najdalej od tego. Nie wiem, jakie VPN może wystawić fortigate, ale jak zależy Ci na IPsecu, to robisz to z poziomu routera - jak masz klasę wyżej niż TP-Link. Być może, może Ci wystawić OpenVPN.
Niestety z Openvpn zrezygnowaliśmy...
Właśnie chciałem aby łączyć się z nasa do tego VPN`a ale widzę, że kicha z tym będzie, chyba, że ktoś kiedyś jakąś paczkę z apką wypuści, która by to umożliwiała.

Router ma u siebie klienta vpn, który łączy się i działa ale...cały ruch, który potem z pc mi idzie wychodzi z IP firmy czyli wszystko leci po vpn. Nie wiem jak to ugryźć aby wy filtrować by np.: tel voip tylko wychodził poprzez VPN, a całą reszta leciała z mojego IP.

Router ma możliwość wejścia po ssh i ew. tablica routingu ale jak to ugryźć....nie wiem :-(

Ciekawostka na routerze mam klienta L2tp, który się łączy ale już z nasa nie. Chyba wiąże się to z tym, ze na routerze nie muszę wpisywać Wstępnego klucza no ale na qnapie wymaga.
 
Ja nie mówię, że się nie da - bo L2TP idzie w parze z IPsec jako szyfrowanie, tylko z palca w Qnapie dostępne jest bez wyboru hashowania i encryption, a z formacie MS-CHAP v2. Kiedyś w Syno w configu dużo kombinowałem i nawet dodatkowy tun sobie wystawiłem, ale nie wiem czy na Qnap da się to zrobić. OpenVPN jest bezproblemowy i na pewno szybki.

Na routerze robisz trasy statyczne i cały ruch wtedy nie idzie przez VPN. Jest przy tym więcej zachodu - ale do zrobienia. Jak kolega ogarnia Fortigate i wdraża - dla niego to pestka.
 
Ja nie mówię, że się nie da - bo L2TP idzie w parze z IPsec jako szyfrowanie, tylko z palca w Qnapie dostępne jest bez wyboru hashowania i encryption, a z formacie MS-CHAP v2. Kiedyś w Syno w configu dużo kombinowałem i nawet dodatkowy tun sobie wystawiłem, ale nie wiem czy na Qnap da się to zrobić. OpenVPN jest bezproblemowy i na pewno szybki.

Na routerze robisz trasy statyczne i cały ruch wtedy nie idzie przez VPN. Jest przy tym więcej zachodu - ale do zrobienia. Jak kolega ogarnia Fortigate i wdraża - dla niego to pestka.
Myślisz, że grzebanie w plikach konfiguracyjnych na qnapie coś mi da aby jakoś to ruszyć?
 
Jest zapewne szansa, ale gra niewarta świeczki, na pewno do zmiany
/etc/ipsec.conf
etc/ipsec.secrets
Jeszcze zapewne w configu.
Gra nie warta świeczki, najszybciej - najlepiej i najbezpieczniej - OpenVPN i to nie jest problem, żeby wystawić, bo praktycznie wszyscy to wspierają.
 
Jest zapewne szansa, ale gra niewarta świeczki, na pewno do zmiany
/etc/ipsec.conf
etc/ipsec.secrets
Jeszcze zapewne w configu.
Gra nie warta świeczki, najszybciej - najlepiej i najbezpieczniej - OpenVPN i to nie jest problem, żeby wystawić, bo praktycznie wszyscy to wspierają.

Tak masz racje ale u mnie firma nie chce się zgodzić. Mieli ale zamknęli...