Всем доброго времени суток.

L2TP через IPSEC в Windows прекрасно работает, данные шифруются, ну в общем все пучком.
Однако когда я начал тестировать в Linux через Gnome-network-manager - то заметил что сессия устанавливается и работает без ipsec и какого либо шифрования.

Вопрос - можно ли запретить подключения по L2TP без использования ipseс. Желательно без сильных изменений в секции dynamic-map - ещё нужно будет допиливать конфиг под XP клиентов.

Конфиг

vpdn-group 1
accept-dialin
  protocol l2tp
  virtual-template 1
no l2tp tunnel authentication

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key test_key address 0.0.0.0        
crypto isakmp nat keepalive 1800
crypto isakmp client configuration address-pool local L2TP
!
!
crypto ipsec transform-set TRANS esp-aes esp-sha-hmac
mode transport
!
!
!
crypto dynamic-map DYNMAP 1
set nat demux
set transform-set TRANS
!
!
crypto map CRYPTOMAP client configuration address respond
crypto map CRYPTOMAP 1 ipsec-isakmp dynamic DYNMAP

interface Virtual-Template1
ip unnumbered Loopback0
no ip route-cache
peer default ip address pool L2TP
ppp authentication ms-chap-v2

Подключение с Windows 7

cisco#show vpdn session                                                              

L2TP Session Information Total tunnels 1 sessions 1

LocID      RemID      TunID      Username, Intf/      State  Last Chg Uniq ID  
                                 Vcid, Circuit                                  
43200      1          11879      test_user, Vi2.1   est    00:02:02 22  

---------
     inbound esp sas:
      spi: 0xAABFC518(2864694552)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Transport UDP-Encaps, }
        conn id: 81, flow_id: Onboard VPN:81, sibling_flags 80000000, crypto map: CRYPTOMAP
        sa timing: remaining key lifetime (k/sec): (231966/3584)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x942556D5(2485475029)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Transport UDP-Encaps, }
        conn id: 82, flow_id: Onboard VPN:82, sibling_flags 80000000, crypto map: CRYPTOMAP
        sa timing: remaining key lifetime (k/sec): (232004/3584)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)
-----------

cisco#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
dst_address    srs_address   QM_IDLE           2054 ACTIVE

-----------

Подключение с использованием Gnome 3 Network-Manager (вроде он использует openswan, не могу сказать точно особо не интересовался)

cisco#show vpdn session

L2TP Session Information Total tunnels 1 sessions 1

LocID      RemID      TunID      Username, Intf/      State  Last Chg Uniq ID  
                                 Vcid, Circuit                                  
24803      53405      27554      test_user, Vi2.1   est    00:00:04 23        

cisco#show crypto ipsec sa --- пусто
cisco#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status

IPv6 Crypto ISAKMP SA

PS Думал в сторону l2tp security crypto-profile - однако не могу создать профиль, так как существует уже dynamic map.