• Poznaliśmy już standardy PPTP i GRE, które choć szybkie, nie oferują współczesnego poziomu bezpieczeństwa.
• Teraz skoncentrujemy się na protokołach klasy korporacyjnej.
• Omówimy SSTP – standard optymalny dla stacji roboczych z systemem Windows.
• Zrozumiemy działanie L2TP oraz powód, dla którego wymaga on wsparcia IPSec.
• Przeanalizujemy architekturę IPSec – uniwersalnego i najbezpieczniejszego obecnie standardu.
• Wspomniane rozwiązania stanowią fundament bezpiecznej komunikacji w sektorze bankowym i korporacyjnym.

• Standard opracowany przez Microsoft (debiut w Windows Vista / Server 2008).
• Zasada działania: "Jeśli sieć pozwala na przeglądanie stron HTTPS, pozwoli również na połączenie VPN".
• Wykorzystuje port TCP 443 (protokół SSL/TLS) – ten sam, co bezpieczny ruch WWW.
• Główna zaleta: Wysoka skuteczność w przechodzeniu przez zapiory sieciowe oraz mechanizmy NAT.
• Wewnątrz bezpiecznego tunelu SSL przesyłane są standardowe ramki protokołu PPP.

• Kolejne warstwy enkapsulacji: IP -> TCP (443) -> SSL/TLS -> Nagłówek SSTP -> PPP -> Dane IP.
• Bezpieczeństwo bazuje na certyfikatach standardu X.509 (analogicznie do bankowości elektronicznej).
• Serwer musi posiadać certyfikat SSL, który jest zaufany przez system klienta.
• W przypadku stosowania certyfikatów własnych (Self-Signed), konieczny jest ich ręczny import do magazynu "Zaufanych głównych urzędów certyfikacji" na kliencie.

• Zalety:
  • Działa w niemal każdej sieci publicznej (hotele, lotniska) bez dodatkowej konfiguracji firewalla.
  • Natywna obsługa w systemach Windows (brak barier wdrożeniowych).
  • Wysoki poziom bezpieczeństwa (silne szyfry AES w warstwie TLS).
• Ograniczenia:
  • Ryzyko zjawiska "TCP Meltdown" (tunelowanie TCP wewnątrz TCP) – drastyczny spadek wydajności w niestabilnych sieciach.
  • Standard własnościowy Microsoft (choć istnieją implementacje na Linux/MikroTik, wsparcie na systemach mobilnych jest ograniczone).

Niezbędne jest utworzenie certyfikatu urzędu certyfikacji (CA) oraz certyfikatu serwerowego.

Uruchomienie usługi SSTP z wykorzystaniem utworzonego certyfikatu:

Pamiętaj: Należy udostępnić port TCP 443 w łańcuchu INPUT zapory systemowej.

• Procedura dla certyfikatu typu Self-Signed:
• 1. Eksport pliku certyfikatu CA (tylko część publiczna, .crt) z routera.
• 2. Przeniesienie pliku na stację roboczą klienta.
• 3. Instalacja w systemie: Wybierz "Komputer lokalny" -> magazyn "Zaufane główne urzędy certyfikacji".
• Brak zaufania skutkuje błędem o kodzie: 0x800B0109 (Łańcuch certyfikatów nie kończy się zaufanym certyfikatem głównym).

• Niezgodność CN (Common Name): Jeśli w certyfikacie widnieje "vpn.firma.pl", a łączymy się przez IP "1.1.1.1", system Windows zablokuje połączenie ze względów bezpieczeństwa.
• Konflikt portu 443: Jeśli na routerze aktywna jest administracja WWW przez SSL (WebFig) na porcie 443, usługa SSTP może kolidować. Rozwiązaniem jest zmiana portu WebFig.
• Weryfikacja unieważnienia (CRL): Windows domyślnie próbuje sprawdzić listę odwołań certyfikatów. Przy certyfikatach własnych warto sprawdzić wpisy w rejestrze (NoCertRevocationCheck).

• Standard IETF (RFC 2661), powstały z połączenia technologii Cisco L2F i Microsoft PPTP.
• Działa na porcie UDP 1701.
• Kluczowa informacja: L2TP sam w sobie NIE OFERUJE SZYFROWANIA. Tworzy jedynie strukturę tunelu.
• W zastosowaniach VPN zawsze musi być łączony z protokołem IPSec (tzw. L2TP/IPSec).
• W systemach klienckich zazwyczaj te dwa protokoły są traktowane jako nierozerwalna całość.

• Strukturę tunelu można porównać do wielowarstwowej osłony:
• 1. Dane aplikacji są pakowane w ramki PPP.
• 2. Ramki PPP są zamykane w pakietach L2TP (UDP 1701).
• 3. Kompletny pakiet L2TP jest poddawany szyfrowaniu i umieszczany wewnątrz IPSec.
• Dla sieci zewnętrznej widoczna jest tylko bezpieczna transmisja IPSec (ESP). Treść L2TP pozostaje niewidoczna do momentu odszyfrowania.

• IPSec (Internet Protocol Security) to kompleksowy zestaw standardów bezpieczeństwa.
• Działa w warstwie sieciowej (warstwa 3), co czyni go przezroczystym dla aplikacji.
• Zapewnia fundamenty bezpiecznej transmisji:
  • Poufność (zaawansowane szyfrowanie).
  • Integralność (zapewnienie, że dane nie zostały zmienione).
  • Uwierzytelnianie stron (PSKs, Certyfikaty).
  • Ochronę przed ponownym przesłaniem pakietów (Anti-Replay).

• IPSec operuje dwoma głównymi protokołami transportowymi:
• AH (Authentication Header) – Protokoł IP 51: Zapewnia integralność i uwierzytelnianie, ale nie szyfruje danych. Rzadko wykorzystywany w nowoczesnych VPNach.
• ESP (Encapsulating Security Payload) – Protokół IP 50: Oferuje pełny zakres: szyfrowanie, integralność i uwierzytelnianie. Jest to standard dla tuneli VPN.
• W konfiguracji zapory wymagane jest zezwolenie na ruch "Protocol 50 (ESP)".

• Transport Mode: Szyfruje wyłącznie segment danych (payload) pakietu IP. Oryginalny nagłówek IP pozostaje widoczny. Stosowany w tunelach client-to-site (np. L2TP/IPSec).
• Tunnel Mode: Szyfruje cały oryginalny pakiet IP i enkapsuluje go w nowy pakiet IPSec. Ukrywa adresację źródłową i docelową. Standard dla połączeń Site-to-Site (między routerami).

• Przed rozpoczęciem bezpiecznej transmisji ESP, strony muszą ustalić parametry szyfrowania.
• Za ten proces odpowiada protokół IKE (Internet Key Exchange), działający na porcie UDP 500.
• Zestawianie tunelu realizowane jest w dwóch fazach (Phase 1 oraz Phase 2).
• Błędy typu "Proposal mismatch" są najczęstszą przyczyną nieudanych prób połączenia (brak porozumienia co do metod szyfrowania).

• Cel: Uwierzytelnienie partnera i stworzenie bezpiecznej rury do dalszej negocjacji (ISAKMP SA).
• Strony ustalają: Szyfr (AES), metodę skrótu (SHA), grupę Diffie-Hellman dla wymiany kluczy oraz formę autoryzacji (hasło PSK lub certyfikat).
• Możliwe tryby: Main Mode (bezpieczniejszy, weryfikuje tożsamość chronionym kanałem) oraz Aggressive Mode (szybszy, ale przesyła skróty tożsamości jawnie).

• Cel: Ustalenie finalnych parametrów szyfrowania dla właściwego tunelu danych (IPSec SA).
• Negocjacja odbywa się wewnątrz bezpiecznego tunelu utworzonego w Fazie 1.
• Konkretne parametry ESP są ustalane ponownie (często mogą różnić się od tych z Fazy 1).
• Definiowane są tzw. "Policies" (Polityki) – określające precyzyjnie, jaki ruch sieciowy ma zostać skierowany do szyfrowania.

• Standard NAT koliduje z działaniem protokołu ESP (brak portów warstwy transportowej).
• Urządzenia podczas fazy negocjacji wykrywają obecność NAT (NAT Discovery).
• W przypadku wykrycia NAT, następuje przełączenie na port UDP 4500.
• Pakiety ESP są zamykane w ramki UDP (tzw. UDP Encapsulation).
• Wniosek praktyczny: Zaporowa powinna dopuszczać UDP 500, UDP 4500 oraz protokół 50.

• Konfiguracja w systemie MikroTik jest uproszczona dzięki modułowi "one-click IPSec".
• Serwer L2TP potrafi automatycznie generować odpowiednie polityki bezpieczeństwa IPSec w tle.
• Administrator nie musi ręcznie konfigurować wszystkich parametrów w menu IP -> IPSec.
• Wystarczy aktywować opcję "Use IPSec: yes" i ustalić wspólne hasło ("IPSec Secret" / PSK).

Ta prosta komenda powoduje automatyczne stworzenie obiektów Peer, Identity oraz Policy w konfiguracji IPSec.

Niezbędne reguły w łańcuchu INPUT:

• Podobnie jak w PPTP, korzystamy z systemowego kreatora, wybierając:
• Typ sieci VPN: L2TP/IPSec z kluczem wstępnym.
• W polu Klucz wstępny (Pre-shared Key) wprowadzamy hasło ustawione jako "ipsec-secret".
• Dane użytkownika (login/hasło) podajemy zgodnie z bazą Secrets routera.
• Uwaga: Połączenie może wymagać dodatkowych kroków, jeśli router serwera jest za NAT-em dostawcy.

• Windows domyślnie blokuje zestawianie tuneli IPSec do serwerów ukrytych za NAT-em dla ochrony bezpieczeństwa.
• W celu odblokowania należy edytować rejestr: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
• Należy dodać parametr typu DWORD o nazwie AssumeUDPEncapsulationContextOnSendRule i wartości 2.
• Zmiana staje się aktywna po ponownym uruchomieniu komputera.
• Brak tej zmiany to najczęstszy powód błędów połączenia L2TP na systemach Windows.

• Służy do łączenia całych sieci LAN poprzez Internet (np. Centrala <-> Oddział).
• W tym modelu nie stosuje się wirtualnych interfejsów (brak potrzeby adresacji IP tunelu).
• Bazujemy na tzw. Policy Based Routing.
• Router monitoruje ruch: "Jeśli pakiet leci z sieci A do sieci B, przechwyć go, zaszyfruj i wyślij tunelem".
• Model ten oferuje najwyższą przepustowość dzięki optymalizacji sprzętowej.

Określenie zakresu adresów podlegających szyfrowaniu:

Pamiętaj: Konfiguracja na obu routerach musi być lustrzanym odbiciem względem adresów IP.

• Standardowa reguła maskarady (NAT) dla Internetu może "popsuć" ruch VPN.
• Jeśli NAT zmieni adres prywatny pakietu przed jego zaszyfrowaniem IPSec...
• ...polityka IPSec nie rozpozna pakietu i nie wyśle go do tunelu.
• Rozwiązanie: Należy dodać regułę typu NAT ACCEPT przed regułą maskarady.
• chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=accept

• Mechanizm FastTrack w RouterOS przyspiesza ruch pomijając część filtrów firewalla.
• Niestety, FastTrack często powoduje omijanie polityk IPSec, co uniemożliwia stabilną pracę tunelu.
• Objawy: Brak łączności mimo poprawnie zestawionego tunelu.
• Rozwiązanie: Ruch przeznaczony do tunelu VPN musi zostać jawnie wykluczony z przetwarzania FastTrack (np. poprzez reguły w tabeli RAW).

• Jak sprawdzić działanie VPN na interfejsie zewnętrznym (WAN)?
• Przy poprawnym działaniu: Powinniśmy widzieć wyłącznie pakiety ESP (Protocol 50). Treść i adresy wewnętrzne są ukryte.
• Widoczny ruch na portach UDP 500/4500: Faza negocjacji sesji lub podtrzymywanie połączenia.
• Pakiety adresów prywatnych (np. 192.168.x.x) widoczne na WAN bez szyfrowania: Alarm! Błąd konfiguracji (brak przechwycenia przez politykę).

• Następca IKEv1, oferujący większą szybkość, niezawodność i odporność na błędy.
• Wsparcie dla MOBIKE: Pozwala na zachowanie aktywnego tunelu przy zmianie adresu IP klienta (np. płynne przejście z mobilnego Wi-Fi na LTE).
• Zredukowana liczba pakietów niezbędnych do nawiązania bezpiecznej sesji.
• Standard natywnie wspierany we wszystkich nowoczesnych systemach (Windows, macOS, iOS).
• Obecnie traktowany jako "złoty standard" dla rozwiązań IPSec.

• Starsze wersje mogą domyślnie używać IKEv1.
• Aby wymusić nowszy standard: W menu /ip ipsec peer wybieramy exchange-mode=ike2.
• Konfiguracja pod system Windows wymaga poprawnych certyfikatów maszynowych lub zaawansowanej autoryzacji EAP.
• Mimo wyższej trudności początkowej konfiguracji, IKEv2 oferuje najlepszą stabilność pracy.

• SSTP:
  • + Skutecznie omija większość blokad sieciowych (HTTPS).
  • + Minimalna konfiguracja na kliencie Windows.
  • - Duży narzut protokołu TCP (niższa prędkość przy dużym ruchu).
• L2TP/IPSec:
  • + Wysoka wydajność dzięki protokołowi UDP.
  • + Bardzo szerokie wsparcie na starszych i nowych urządzeniach.
  • - Podatny na blokady portów UDP w sieciach publicznych.
  • - Możliwe problemy konfiguracyjne z podwójnym NAT.

• Komunikaty błędu: "no phase2 proposals selected" lub "failed to get valid proposal".
• Najczęstsza przyczyna: Rozbieżność w doborze algorytmów szyfrowania (Proposal) między stronami.
• Przykład: Router A oferuje AES-256, natomiast Router B oczekuje AES-128.
• Konieczna weryfikacja zgodności parametrów w menu: /ip ipsec proposal po obu stronach.

• Cykliczny komunikat w logach: "retransmit phase1...".
• Przyczyna: Pakiety negocjacyjne UDP 500 nie docierają do celu.
• Zweryfikuj poprawność adresu IP partnera oraz reguły firewalla po stronie odbiorcy.
• Należy upewnić się, czy dostawca usług internetowych nie narzuca blokad na ruch typu VPN.
• Użyj wbudowanego narzędzia Sniffer, aby potwierdzić obecność pakietów na porcie 500.

• Szyfrowanie:
  • DES / 3DES: Standardy przestarzałe i podatne na ataki. Należy unikać.
  • AES-128/256 (CBC): Solidny standard rynkowy.
  • AES-GCM: Nowoczesny i wysoce wydajny (szyfrowanie powiązane z autentykacją). Zalecany.
• Mechanizmy Skrótu (Hash):
  • MD5 / SHA-1: Standardy uznane za niebezpieczne.
  • SHA-256 / SHA-512: Obecne standardy bezpieczne.
• DH Group: Zalecane minimum to Grupa 14 (klucz 2048-bitowy).

• Szyfrowanie danych to proces silnie obciążający jednostkę centralną (CPU).
• Nowoczesne routery MikroTik (np. hEX, CCR) dysponują procesorami z instrukcjami AES-NI (Hardware Acceleration).
• Wpływ na wydajność:
  • Przetwarzanie programowe: 30-50 Mbps przy pełnym obciążeniu CPU.
  • Wsparcie sprzętowe: 500-1000 Mbps przy znikomym obciążeniu CPU.
• Warunek działania: Wybór algorytmów wspieranych przez dany chip (zazwyczaj AES-CBC lub AES-GCM).

• Dobór zależy od wymagań środowiskowych:
• Wsparcie dla użytkowników mobilnych (hotele): Wybierz SSTP – gwarantuje największą szansę na nawiązanie połączenia.
• Stacje robocze IT (mieszane systemy): L2TP/IPSec lub IKEv2 – oferują spójny poziom bezpieczeństwa.
• Połączenia między oddziałami firmy: Czysty IPSec Tunnel Mode – zapewnia bezkonkurencyjną wydajność transferu.

• 1. Przygotowanie profilu PPP (zakresy IP, serwery DNS).
• 2. Definicja kont użytkowników (PPP Secrets).
• 3. Aktywacja serwera SSTP lub L2TP z wymuszeniem IPSec.
• 4. Konfiguracja zapory (INPUT): odblokowanie portów 443, 500, 4500 oraz protokołu 50.
• 5. Opcjonalnie: Prawidłowe wdrożenie certyfikatów SSL dla usługi SSTP.

• Kwestie krytyczne: Jawny wybór "Typu VPN" zamiast trybu automatycznego.
• Konieczność modyfikacji rejestru (DWORD: AssumeUDP...) w specyficznych konfiguracjach sieciowych.
• Zapewnienie zaufania systemowego do certyfikatu CA (dla usługi SSTP).
• Wykorzystanie techniki Split Tunneling dla zachowania optymalnej prędkości połączenia internetowego klienta.

• IPSec oferuje potężne możliwości, ale cechuje go wysoka złożoność.
• SSTP jest rozwiązaniem optymalnym, lecz zawężonym do ekosystemu Windows.
• W kolejnej części przeanalizujemy OpenVPN.
• Standard ten łączy uniwersalność portów SSL ze skrajną elastycznością oraz otwartością kodu.
• Obecnie najczęściej wybierany standard w środowiskach Open Source i administracji sieci.

• 1. Skonfiguruj aktywny serwer L2TP/IPSec i spróbuj uzyskać dostęp z urządzenia mobilnego.
• 2. Przećwicz proces generowania i podpisywania certyfikatów na potrzeby serwera SSTP.
• 3. Przeprowadź proces importu certyfikatu CA do systemu Windows i wyeliminuj błąd zaufania.
• 4. Wykonaj testy wydajnościowe routera porównując tunelowanie nieszyfrowane GRE z tunelem szyfrowanym IPSec – obserwuj statystyki obciążenia procesora.