Всех доброго дня. До вчерашнего дня работала исправно (уже долгое время) связка — сервер на RB2011UiAS-2HnD-IN и два клиента, RB2011UiAS-2HnD-IN и RB2011iL-IN. Вчера обнаружил очередное обновление, до этого была 6.46.6, обновился до 4.7 на всех. Поле перезапуска пропало поначалу — от доступа к железкам (PortKnocking), до VPN. Пришлось ехать к серверу, времени на разбор было мало, откатил конфигурацию до недельной давности. После доступ появился и туннели поднялись. Но вот один клиент (это мой, домашний) никак не хочет работать по VPN. Туннель есть, все шифруется, ошибок в логах не вижу. С роутеров пинг на шлюз локалки другой стороны туннеля идет только в одну сторону. С той же, с которой пинги не идут, обе точки туннеля пингуются. Уже голову поломал… маршруты вроде правильно выставлены (с одним микротиком-то все работает) . С микротиком всего полгода как начал работать. До этого cisco в основном. Явно пробелы в линуксе видны. 
Конфиг сервера
Код: Выделить всё
# jun/06/2020 13:23:10 by RouterOS 6.47
# model = 2011UiAS-2HnD
/interface l2tp-server
add name=l2tp-in-Home2 user=l2tp-in-Home2
add name=l2tp-in1 user=client_l2tp1
/interface bridge
add admin-mac=xxxxxxxxxxxxxxxx arp=proxy-arp auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether5 name=VLAN_1 vlan-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=L2TP_enable
add include=LAN name=ALL_LAN
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,des
/ip pool
add name=dhcp ranges=192.168.5.10-192.168.5.30
add name=Pool_L2TP_VPN ranges=172.20.10.12-172.20.10.30
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=1w3d name=defconf
/ppp profile
set *0 interface-list=VPN
add change-tcp-mss=yes local-address=Pool_L2TP_VPN name=l2tp_profile remote-address=Pool_L2TP_VPN
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge vlan-ids=1
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=xxxxxxxx use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=l2tp-in1 list=VPN
/ip address
add address=192.168.5.1/24 comment=defconf interface=ether2 network=192.168.5.0
/ip dhcp-client
add comment=defconf interface=ether1
add comment=defconf disabled=no interface=ether1
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.5.0/24 comment=defconf dns-server=85.234.32.35,85.234.33.23 gateway=192.168.5.1 ntp-server=192.168.5.1
/ip dns
set servers=85.234.32.35,85.234.33.23
/ip dns static
add address=192.168.5.1 comment=defconf name=router.lan type=A
/ip firewall address-list
add address=ttt.ttt.ttt.ttt list="Access L2TP"
add address=eee.eee.eee.eee list="Access L2TP"
add address=rrr.rrr.rrr.rrr list="Access L2TP"
/ip firewall filter
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=input comment="Access L2TP" dst-address-list="Access L2TP" dst-port=1701 in-interface-list=WAN protocol=udp src-address-list="Access L2TP" src-port=1701
add action=accept chain=input dst-address-list="Access L2TP" dst-port=500,1701,4500 in-interface-list=WAN protocol=udp src-address-list="Access L2TP" src-port=500,1701,4500
add action=drop chain=input dst-port=1701 in-interface-list=WAN protocol=udp src-port=1701
add action=accept chain=forward comment=NTP dst-port=123 protocol=udp
add action=drop chain=forward comment=NAT connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="Forward and Input Established and Related connections" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=input comment="Protected - WinBox Access" src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8291 in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" protocol=
tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Protected - OpenVPN Connections" src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" address-list-timeout=none-dynamic chain=input connection-state=new dst-port=1194 in-interface-list=WAN log=yes log-prefix="BLACK OVPN" protocol=tcp
src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list="OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list="OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=1194 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Protected - L2TP Connections" src-address-list="Black List L2TP"
add action=add-src-to-address-list address-list="Black List L2TP" address-list-timeout=none-dynamic chain=input connection-state=new dst-port=500,1701,4500 in-interface-list=WAN log=yes log-prefix="BLACK L2TP"
protocol=tcp src-address-list="L2TP Stage 3"
add action=add-src-to-address-list address-list="L2TP Stage 3" address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 in-interface-list=WAN protocol=tcp src-address-list="L2TP Stage 2"
add action=add-src-to-address-list address-list="L2TP Stage 2" address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 in-interface-list=WAN protocol=tcp src-address-list="L2TP Stage 1"
add action=add-src-to-address-list address-list="L2TP Stage 1" address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=500,1701,4500 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept OpenVPN Requests" dst-port=1194 in-interface=ether1 log=yes protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related protocol=udp
add action=fasttrack-connection chain=forward connection-state=established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related protocol=udp
add action=accept chain=forward comment="ALLOW Established, Related and Untracked connections" connection-state=established,related
add action=accept chain=input connection-state=established,related in-interface-list=WAN
add action=accept chain=input comment="ALLOW All after ICMP knocking" in-interface-list=WAN src-address-list="Access IP"
add action=accept chain=forward in-interface-list=WAN src-address-list="Access IP"
add action=drop chain=forward comment="DROP Invalid connections" connection-state=invalid
add action=jump chain=forward comment="DDoS SYN flood protection" connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=SYN-Protect log=yes log-prefix="DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=forward comment="DDoS Main protection" connection-state=new in-interface-list=WAN jump-target=DDoS-Protect
add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=DDoS-Protect log=yes log-prefix="DDoS: MAIN-Protect"
add action=jump chain=input comment="Port Knocking Permission to access the router" in-interface-list=WAN jump-target=port-knocking log-prefix=PING protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 1" address-list-timeout=30s chain=port-knocking in-interface-list=WAN log-prefix="Access IP Gate 1" packet-size=255 protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 2" address-list-timeout=30s chain=port-knocking in-interface-list=WAN log-prefix="Access IP Gate 2" packet-size=350 protocol=icmp src-address-list=
"Access IP Gate 1"
add action=add-src-to-address-list address-list="Access IP" address-list-timeout=8h chain=port-knocking in-interface-list=WAN log-prefix="Access IP" packet-size=650 protocol=icmp src-address-list="Access IP Gate 2"
add action=add-src-to-address-list address-list="Access IP" address-list-timeout=8h chain=port-knocking in-interface-list=WAN log-prefix="Access IP" packet-size=530 protocol=icmp src-address-list="Access IP Gate 2"
add action=return chain=port-knocking
add action=drop chain=input comment="DROP Block all other input/forward connections on the WAN" in-interface-list=WAN
add action=drop chain=forward in-interface-list=WAN
add action=drop chain=input comment="Drop All Other" in-interface-list=WAN
add action=drop chain=input comment="DROP Block all other input/forward connections on the WAN" in-interface-list=WAN
add action=drop chain=forward in-interface-list=WAN
/ip firewall mangle
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.5.0/24
/ip firewall raw
add action=drop chain=prerouting comment="DDoS Drop blacklist IP" in-interface-list=WAN src-address-list=ddos-blacklist
add action=drop chain=prerouting comment=Block_NetBios dst-port=137,138,445 in-interface-list=WAN protocol=udp
add action=drop chain=prerouting dst-port=137,138,445 in-interface-list=WAN protocol=tcp
add action=accept chain=prerouting comment="ALLOW Resolved SIP provider" disabled=yes in-interface-list=WAN protocol=udp src-address-list=SIP
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes
/ip route
add distance=1 gateway=rrr.rrr.rrr.1
add distance=1 dst-address=10.67.5.0/24 gateway=l2tp-in1
add distance=1 dst-address=192.168.30.0/32 gateway=l2tp-in-Home2
/ip route rule
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.5.0/24
set ssh disabled=yes
set winbox address=192.168.5.0/24
/ip smb
set interfaces=bridge
/ip traffic-flow
set enabled=yes interfaces=ether1
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/lcd
set backlight-timeout=5m
/lcd interface pages
set 0 interfaces=wlan1
/ppp secret
add name=client_l2tp1 password=xxxxxxxx profile=l2tp_profile service=l2tp
add name=l2tp-in-Home2 password=xxxxxxxx profile=l2tp_profile service=l2tp
/snmp
set enabled=yes trap-generators=interfaces trap-version=2
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system identity
set name=Home
/system logging
add topics=critical
add topics=firewall
add topics=ipsec
/system ntp client
set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.232
/system ntp server
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Клиента
Код: Выделить всё
# jun/06/2020 13:21:34 by RouterOS 6.47
# model = 2011UiAS-2HnD
/interface bridge
add admin-mac=xxxxxxxxxxxxxxx arp=proxy-arp auto-mac=no comment=defconf name=bridge
/interface l2tp-client
add allow=mschap2 connect-to=rrr.rrr.rrr.rrr disabled=no ipsec-secret=xxxxxxxxx name=l2tp-in-Home2 password=xxxxxxxx use-ipsec=yes user=l2tp-in-Home2
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=VPN
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1
/ip pool
add name=dhcp ranges=192.168.30.2-192.168.30.20
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *0 interface-list=VPN
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.30.1/24 comment=defconf interface=ether2 network=192.168.30.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.30.0/24 comment=defconf dns-server=85.234.32.35,85.234.33.23 gateway=192.168.30.1 netmask=24 ntp-server=88.147.254.235,88.147.254.230
/ip dns
set servers=85.234.32.35,85.234.33.23
/ip dns static
add address=192.168.30.1 comment=defconf name=router.lan type=A
/ip firewall address-list
add address=ttt.ttt.ttt.ttt list="Access L2TP"
add address=eee.eee.eee.eee list="Access L2TP"
add address=rrr.rrr.rrr.rrr list="Access L2TP"
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related protocol=udp
add action=accept chain=input comment="Access OpenVPN Tunnel Data" disabled=yes in-interface-list=VPN
add action=accept chain=input disabled=yes dst-port=123 protocol=tcp
add action=accept chain=input connection-state=established,related disabled=yes in-interface-list=WAN
add action=accept chain=input comment="Access L2TP" dst-address-list="Access L2TP" dst-port=1701 in-interface-list=WAN protocol=udp src-address-list="Access L2TP" src-port=1701
add action=accept chain=input dst-address-list="Access L2TP" dst-port=500,1701,4500 in-interface-list=WAN protocol=udp src-address-list="Access L2TP" src-port=500,1701,4500
add action=drop chain=input dst-port=1701 in-interface-list=WAN protocol=udp src-port=1701
add action=accept chain=forward comment=NTP dst-port=123 protocol=udp
add action=accept chain=forward comment="ALLOW Established, Related and Untracked connections" connection-state=established,related
add action=accept chain=input comment="ALLOW All after ICMP knocking" in-interface-list=WAN src-address-list="Access IP"
add action=accept chain=forward in-interface-list=WAN src-address-list="Access IP"
add action=drop chain=forward comment="DROP Invalid connections" connection-state=invalid
add action=jump chain=forward comment="DDoS SYN flood protection" connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=SYN-Protect log=yes log-prefix="DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=forward comment="DDoS Main protection" connection-state=new in-interface-list=WAN jump-target=DDoS-Protect
add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=DDoS-Protect log=yes log-prefix="DDoS: MAIN-Protect"
add action=jump chain=input comment="Port Knocking Permission to access the router" in-interface-list=WAN jump-target=port-knocking log-prefix=PING protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 1" address-list-timeout=30s chain=port-knocking in-interface-list=WAN log-prefix="Access IP Gate 1" packet-size=255
protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 2" address-list-timeout=30s chain=port-knocking in-interface-list=WAN log-prefix="Access IP Gate 2" packet-size=350
protocol=icmp src-address-list="Access IP Gate 1"
add action=add-src-to-address-list address-list="Access IP" address-list-timeout=8h chain=port-knocking in-interface-list=WAN log-prefix="Access IP" packet-size=650 protocol=icmp
src-address-list="Access IP Gate 2"
add action=add-src-to-address-list address-list="Access IP" address-list-timeout=8h chain=port-knocking in-interface-list=WAN log-prefix="Access IP" packet-size=530 protocol=icmp
src-address-list="Access IP Gate 2"
add action=return chain=port-knocking
add action=accept chain=forward comment="Forward and Input Established and Related connections" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=input comment="Protected - WinBox Access" src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8291 in-interface-list=WAN log=yes
log-prefix="BLACK WINBOX" protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp
src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp
src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Protected - OpenVPN Connections" src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" address-list-timeout=none-dynamic chain=input connection-state=new dst-port=1194 in-interface-list=WAN log=yes
log-prefix="BLACK OVPN" protocol=tcp src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=WAN protocol=tcp
src-address-list="OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=WAN protocol=tcp
src-address-list="OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=1194 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Protected - L2TP Connections" src-address-list="Black List L2TP"
add action=add-src-to-address-list address-list="Black List L2TP" address-list-timeout=none-dynamic chain=input connection-state=new dst-port=500,1701,4500 in-interface-list=WAN log=yes
log-prefix="BLACK L2TP" protocol=tcp src-address-list="L2TP Stage 3"
add action=add-src-to-address-list address-list="L2TP Stage 3" address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 in-interface-list=WAN protocol=tcp
src-address-list="L2TP Stage 2"
add action=add-src-to-address-list address-list="L2TP Stage 2" address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 in-interface-list=WAN protocol=tcp
src-address-list="L2TP Stage 1"
add action=add-src-to-address-list address-list="L2TP Stage 1" address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=500,1701,4500 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="DROP Block all other input/forward connections on the WAN" in-interface-list=WAN
add action=drop chain=forward in-interface-list=WAN
add action=drop chain=input comment="Drop All Other" in-interface-list=WAN
add action=drop chain=input comment="DROP Block all other input/forward connections on the WAN" in-interface-list=WAN
add action=drop chain=forward in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="MASQ WAN out masquerade" out-interface-list=WAN src-address=192.168.30.0/24
/ip firewall raw
add action=drop chain=prerouting comment="DDoS Drop blacklist IP" in-interface-list=WAN src-address-list=ddos-blacklist
add action=drop chain=prerouting comment=Block_NetBios dst-port=137,138,445 in-interface-list=WAN protocol=udp
add action=drop chain=prerouting dst-port=137,138,445 in-interface-list=WAN protocol=tcp
add action=accept chain=prerouting comment="ALLOW Resolved SIP provider" disabled=yes in-interface-list=WAN protocol=udp src-address-list=SIP
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes
/ip route
add distance=1 dst-address=192.168.5.0/24 gateway=l2tp-in-Home2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip traffic-flow
set enabled=yes interfaces=ether1
/lcd
set backlight-timeout=5m
/lcd interface pages
set 0 interfaces=wlan1
/snmp
set enabled=yes trap-generators=interfaces trap-version=2
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system identity
set name=Home_2
/system logging
set 0 disabled=yes
add action=remote topics=firewall
add disabled=yes topics=debug
add topics=event
add disabled=yes topics=ovpn
add topics=interface
add action=remote topics=info
add action=remote topics=system
add action=remote topics=critical
add topics=l2tp
add action=remote disabled=yes topics=snmp
add topics=firewall
/system ntp client
set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.230
/system ntp server
set enabled=yes
/system scheduler
add interval=1m name=start_icmp_knock on-event="/system script run "icmp_knock"" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup
/system script
add dont-require-permissions=no name=icmp_knock owner=michail policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":local IP rrr.rrr.rrr.rrrr
n:local PINGr
n:set $PING [/ping $IP count=1]r
n:if ($PING<1) do={r
n # Step 1r
n /ping $IP count=1 size=255r
n :delay 2sr
n # Step 2r
n /ping $IP count=1 size=350r
n :delay 2sr
n # Step 3r
n /ping $IP count=1 size=650r
n :delay 2sr
n :set $PING [/ping $IP count=1]r
n :if ($PING>0) do={r
n :log info "Access Granted"r
n } else={r
n :log info "Access Failed"r
n }r
n}"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANСпасибо.
Добрый день коллеги. Сегодня я покажу на деле как настроить L2TP Server на оборудовании Mikrotik. Конфигурация будет простая, без наворотов типа IPSEC. Но не стоит этим пренебрегать, т.к. стандартное шифрование весьма слабое и строить линки site-to-site без IPSEC я бы не рекомендовал.
Содержание
- Немного о протоколе L2TP
- Конфигурирование
- Создание IP пула
- Создание профиля подключения
- Включение L2TP сервера
- Настройка firewall
- 89 вопросов по настройке MikroTik
Немного о протоколе L2TP
L2TP – протокол туннелирования второго уровня. Используется для поддержки виртуальных частных сетей. Отличительной особенностью, является, возможность работы не только в IP сетях, но и в ATM, X.25 и Frame Relay. Клиент-серверный протокол, всегда есть клиент и сервер. Использует на транспортном уровне UDP порт 1701 – большой плюс для трафика, которому не нужно подтверждение каждого пакета (IP телефония, видеонаблюдение), а значит работает быстрее. Но и в этом его минус, шифрование пакетов алгоритмом MPPE 128bit RC4 никого не напугаешь.
Конфигурирование
Используем наш уже знакомый лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся справа внизу в офисе SPB (Office-SPB).
Вводные данные:
- Office-SPB клиент;
- Office-Moscow сервер;
- NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
- Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
- Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
- Office-Moscow имеет bridge “General-Bridge” в локальной сети 192.168.11.1/24;
- Office-SPB имеет bridge “General-Bridge” в локальной сети 192.168.10.1/24;
- IP ПК в локальной сети Office-Moscow 192.168.11.2;
- IP ПК в локальной сети Office-SPB 192.168.10.2;
- Адресация в VPN сети 172.16.25.0/24.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Создание IP пула
На оборудовании Mikrotik есть нюанс с клиент серверными протоколами VPN – соединение не установится до тех пор, пока мы не назначим IP адреса с обоих сторон. Поэтому создадим пул для VPN клиентов. Подключаемся к московскому роутеру и открываем IP-Pool.
Добавляем пул, задаем имя и адреса.
Next Pool указывать не будем. Так же отмечу, что используем мы в VPN /32 маску подсети.
CLI:
/ip pool add name=L2TP-Clients ranges=172.16.25.2-172.16.25.10
Создание профиля подключения
Переходим к созданию профиля L2TP для нашего сервера. Создаем его в PPP – Profiles.
Создаем профайл. Указываем:
- Имя профиля;
- Local Address – следует указать статический адрес внутри VPN, в нашем случае 172.16.25.1;
- Remote Address – созданный на предыдущем шаге пул из выпадающего списка;
- Change TCP MSS – No;
- Use UPnP – No.
Переходим на вкладку Protocols, ставим значения:
- Use MPLS – No;
- Use Compressions – Yes;
- Use Encryption – Yes.
Переходим в Limits, выставляем значение Only One в No.
Сохраняем и смотрим на результат.
CLI:
/ppp profile add change-tcp-mss=no local-address=172.16.25.1 name=L2TP-Server-General only-one=no remote-address=L2TP-Clients use-compression=yes use-encryption=yes use-mpls=no use-upnp=no
Включение L2TP сервера
Будем ориентироваться на повышение безопасности аутентификации и отключим старые протоколы. Если у вас есть устройства не поддерживающие современные протоколы аутентификации, то не забудьте включить их обратно. Переходим в PPP – Interface – L2TP Server.
Выставляем следующее параметры:
- Enable – ставим галочку;
- Default Profile – L2TP-Server-General;
- mschapv1, chap, pap – снимаем галочки;
- Use IPsec – ничего не ставим, т.к. мы не будем использовать IPSEC.
Сохраняем и переходим далее.
CLI:
/interface l2tp-server server set authentication=mschap2 default-profile=L2TP-Server-General enabled=yes
Настройка firewall
Необходимо создать разрешающее правило входящего трафика L2TP на нашем mikrotik в firewall для UDP порта 1701. Приступим к реализации. IP – Firewall – Filter создаем новое правило.
В General нас интересует:
- Chain – input;
- Protocol – UDP;
- Dst. Port – 1701;
- Connection State – New.
На вкладке Action нас интересует accept.
Сохраняем.
CLI:
/ip firewall filter
add action=accept chain=input connection-state=new dst-port=1701 protocol=udp
add action=accept chain=input connection-state=established,related
На самом деле, данное правило будет работать только для новых пакетов пришедших на роутер, для остальных пакетов – нет, а значит сессия не оживет. Чтобы сессии жили и им было хорошо нужно еще одно правило, которое разрешает все устоявшиеся входящие соединения. Создаем еще одно правило.
- Chain – input;
- Connection State – established, related;
- Action – accept.
На этом, пожалуй, все. Настройка сервера L2TP завершена.
Несколько слов про блокировку L2TP – из практики, есть такие товарищи — провайдеры, которые блокируют L2TP. Допустим Билайн в некоторых регионах уже начал блокировать весь L2TP без IPSEC. Обращайте на это внимание, если вы сделали все правильно, но соединение не проходит, значит дело в провайдере.
Далее мы рассмотрим настройку L2TP-клиента и конечно же всеми любимый IPSEC.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
В этот раз я расскажу как настроить VPN L2TP сервер, т.к. он обеспечивает более высокий уровень безопасности но и более требователен к ресурсам системы, а также поддерживается не всем оборудованием, например, только самыми последними версиями Andriod на 100%, по крайней мере, мне не попадались современные телефоны которые его не поддерживают. Основной плюс данной стемы это:
а) Использование тоннеля передачи данных (тунелирование).
б) Защита передаваемых данных с помощью IPsec.
Чтобы было понятнее, мы создадим отдельную подсеть для клиентов подключающихся через L2TP, а оттуда уже настроим маршрутизацию туда куда нам нужно.
Для начала создадим диапазон IP адресов для подключающихся клиентов, мы не будем выдавать каждому пользователю персональный IP адрес, а автоматизируем этот процесс и будем выдавать из пула свободных адресов.
Переходим в IP -> Pool мы создадим пул на 20 IP адресов. Назовем его l2tp_pool чтобы было понятно за что он отвечает.
В результате у нас есть 2 пула адресов, первый используется, у меня, для локальной сети, а второй для L2TP клиентов.
Создаем профиль нашего L2TP сервера
переходим в PPP -> Profiles
В настройках профиля указываем:
Имя профиля: L2TP-server ( чтобы было понятно за что он отвечает)
Local adrdress: 192.168.10.1 начало диапазона IP адресов
Remote Address: l2tp_pool указываем название пула адресов который мы создали ранее
Change TCP MSS: yes
(Все что менялось выделено синим!)
Переходим в вкладку Protocols
Use MPLS: yes
Use Compressiaon: no
Use VJ Compressiaon: no
Use Encription: yes
(Все что менялось выделено синим!)
Переходим во вкладку Limits
Там все оставляем по умолчанию и в строке Only one оставляем default
Создаем пользователя, переходим в PPP -> Secrets
Где указываем имя пользователя, пароль, указываем сервис к которому этот пользователь будет применен L2TP, а также профиль с которым будет работать наш L2TP сервер, мы его создали ранее (L2TP-server)
нам остается включить L2TP сервер, переходим в PPP -> Interface нажимаем кнопку L2TP server
Все сто менялось выделено красным!
Где:
Включаем сам сервер L2TP (ставим галку)
Включаем профиль, который мы создали ранее L2TP-server
Убираем все протоколы, оставляем mschap2 (остальные протоколы уже давно и успешно взломаны!)
Ставим галку Use IPsec
Придумываем IPsec Secret: по сути это парольная фраза, которая едина для всех.
Нам с остается создать правила для фаерволла, чтобы мы могли достучаться до нашего L2TP сервера.
Переходим в IP -> Firewall -> Filter Rules
необходимо создать разрешающее правило для следующих портов и протоколов:
Протокол: UDP
Разрешаем порты: 1701,500,4500
В качестве In.Interface указываем тот что подключен к интернет
Также добавляем правило разрешающее ipcec
протокол: ipsec-esp
В качестве In.Interface указываем тот что подключен к интернет
Почти все готово, но если мы подключимся к нашему L2TP серверу, то не сможем выйти в интернет т.к. не создано разрешающее правило, переходим во вкладку NAT
Создаем новое правило
Chain: snat (т.к. NAT это у нас источник пакетов)
Src. Address: 192.168.10.0/24 (указываем подсеть которая у нас используется для выдачи IP адресов клиентам L2TP сервера)
Out.Inerface указываем интерфейс который у нас подключен к интернет.
переходим во вкладку Action и в строке Action указываем маскарадинг
Вот теперь все готово, нам осталось настроить VPN подключение, в Windows оно делается штатными средствами,
но есть нюанс.
Настраиваем соединение с vpn сервером
Создаем стандартное VPN подключение, в нем указываем протокол L2TP/IPsec, чтобы система не переберала все доступные протоколы, а подключалась сразу по нужному.
Указываем, разрешить следующие протоколы, ставим галку MS-CHAP v2
Нам необходимо нажать кнопку: Дополнительные параметры и там указываем парольную фразу, которую мы придумали при создании в строке IPsec Secret
Вот теперь точно все, подключаемся и пользуемся.
Дополнение
Если есть необходимость изменить настройки шифрования, то нам необходимо перейти в IP -> IPsec во вкладку Proposals и там выставить необходимые виды шифрования
Также в этом разделе можно добавлять свои ключи или сгенерировать, хотя я не готов гарантировать что роутер сможет обеспечить высокий уровень энтропии при генерации ключей, так что генерировать лучше на чем-то другом, а сюда их уже импортировать
В общем данный роутер, позволяет настроить систему довольно гибко исходя из ваших задач.
В процессе использования также выплыл один баг. Если вы подключены по L2TP то при попытке подключиться к маршрутизатору через Winbox система пишет что не правильный логин/пароль, а вот при подключении через PPTP такой проблемы не наблюдается. Как эту тему побороть, я пока не выяснил, если разберусь обязательно отпишусь.
О том что еще можно настроить на MikroTik
-
Добрый день.
Обновил до 6.46.5 и обнаружил странное поведение ipsec peers./ip ipsec policy group
add name=l2tp/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des name=profile_1/ip ipsec peer
add name=peer1 passive=yes profile=profile_1/ip ipsec proposal
set [ find default=yes ] auth-algorithms=»» disabled=yes enc-algorithms=
aes-256-cbc,aes-128-cbc
add enc-algorithms=aes-256-cbc,aes-128-cbc name=L2TP pfs-group=none/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_profile enabled=yes
ipsec-secret=»ipsec-secret» use-ipsec=required/ip ipsec identity
add generate-policy=port-strict peer=peer1 policy-template-group=l2tp
remote-id=ignore secret=»ipsec-secret»/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=l2tp proposal=L2TP src-address=0.0.0.0/0
template=yesЕсли в настройках use-ipsec=required или yes, то возникают проблемы с подключением terminating… — peer is not responding
Обнаружил, что создаются динамические записи:
> ip ipsec peer print
Flags: X — disabled, D — dynamic, R — responder
0 DR name=»l2tp-in-server» passive=yes profile=default exchange-mode=main
send-initial-contact=yes1 R ;;; This entry is unreachable
name=»peer1″ passive=yes profile=profile_ipsec exchange-mode=main
send-initial-contact=yes
> ip ipsec identity print
Flags: D — dynamic, X — disabled
0 peer=peer1 auth-method=pre-shared-key remote-id=ignore secret=»ipsec-secret»
generate-policy=port-strict policy-template-group=L2TP1 D ;;; l2tp-in-server
peer=l2tp-in-server auth-method=pre-shared-key remote-id=ignore
secret=»ipsec-secret» generate-policy=port-strictЕсли /interface l2tp-server server set use-ipsec=no, то динамические записи не создаются, подключение проходит без проблем и ipsec вроде как работает (active peers появляются и счетчики растут).
Но меня смущает вопрос безопасности, насколько я помню при use-ipsec=no можно поднять l2tp канал без ipsec.
Просьба опровергнуть мои страхи или подсказать настройки.
