Содержание
- Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
- Proxy-arp на внутреннем бридже
- Глюк default policy на микротик
- Ошибки firewall на всех этапах
- L2tp ipsec микротик не подключается
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- L2tp ipsec микротик не подключается
- Re: VPN not connecting, IPSec — required
- Re: VPN not connecting, IPSec — required
- L2tp ipsec микротик не подключается
- Настройка MikroTik L2TP Server + IPSec
- Mikrotik. Настройка L2TP Server
- Настройка туннеля L2TP + IPSec на Mikrotik (site-to-site). Объединяем два офиса
- Настройка Mikrotik L2TP Server. Главный офис
- Создаем профиль подключения
- Настраиваем Secret
- Включаем L2TP Server и IPSec
- Создаем интерфейс
- Настройка firewall
- Настройка филиала (L2TP Client)
- Настройка маршрутизации межу офисами
- Настройка L2TP Server + IPSec на Mikrotik (client-to-site)
- Создаем пул адресов
- Профиль подключения
- Создание пользователя
- Включаем L2TP Server
- Настройка подключения на стороне клиента
- Настройка маршрутизации L2TP-клиента
Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph2 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.
По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.
Ошибки firewall на всех этапах
Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input — серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.
Источник
L2tp ipsec микротик не подключается
Mon Sep 30, 2019 1:06 pm
just as the title says, i am unable to establish VPN connection from my RB2011iLS-iN to L2TP VPN Server hosted on another MikroTik which i do not have access to, so not sure about model, but Server version has ROS Version 6.45.3, while my Client is on 6.45.6.
Credentials and IPSec key is fine, i can connect to VPN from a PC that is connected to MikroTik via LAN cable. But on that same mikrotik i cannot establish VPN Tunnel.
This is log file, if i haven’t disabled connection at the end, it would go to endless loop.
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 1:22 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 6:01 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 6:15 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 7:17 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 7:47 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 8:09 pm
Under L2TP server, IPsec is set to required or yes ?
Yes means the client can connect without IPsec while on required the client must provide the IPsec key.
Test it on both.
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 1:23 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 1:43 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 2:01 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 2:23 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 3:59 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 4:42 pm
Ok, i had to do some deeper troubleshooting. I’ve enabled «ipsed,!debug» logging on my MT and found this inside logs:
faata, NO-PROPOSAL-CHOSEN notify message, phase1 should be deleted.
So I’ve checked debug logs on a laptop to see the negotiation and found that connection established using 3des-aes128 with modp2048 PFS Group. On MT client, by default it was set to modp1024 PFS Group and no 3des. After making those changes, i have managed to establish connection to VPN! Thanks for giving a helping hand everyone
Источник
L2tp ipsec микротик не подключается
Wed Jul 06, 2022 4:32 pm
I have vpn L2TP Server, in settings I use IPSec — required. The problem is that the client does not connect from any Windows.
In the log on Mikrotik writes error: L2TP connection rejected no IPsec encryption while it was required.
On the windows the client writes error: Cannot connect to the remote computer, so the connection port is closed.
On Mikrotik I have permission rules Firewall: Input udp 500,1701, 4500 and 50 (ipsec-esp).
When I change — use IPSec: yes. Connection is working.
Tell me what could be the reason?
Re: VPN not connecting, IPSec — required
Wed Jul 06, 2022 4:53 pm
use-ipsec=yes permits use of IPsec to protect L2TP sessions, but does not enforce it, so if the client tries to establish the L2TP connection without previously establishing an IPsec security association, Mikrotik accepts that unprotected session.
By default, the Windows native VPN client has the same setting — it prefers an IPsec-protected connection but if it cannot be established, it connects using bare L2TP anyway.
Now there are two possible reasons — either the encryption and authentication algorithm sets (proposals) are incompatible between the client and the server, or your ISP is blocking IPsec ports (the dialect of English you use suggests it could be the case). But let’s be optimistic and belive it is just a configuration issue. As you say that «client does not connect from any Windows», does it mean Android, Mikrotik, iOS, or Linux clients do connect successfully even if use-ipsec is set to required?
Re: VPN not connecting, IPSec — required
Wed Jul 06, 2022 5:14 pm
use-ipsec=yes permits use of IPsec to protect L2TP sessions, but does not enforce it, so if the client tries to establish the L2TP connection without previously establishing an IPsec security association, Mikrotik accepts that unprotected session.
By default, the Windows native VPN client has the same setting — it prefers an IPsec-protected connection but if it cannot be established, it connects using bare L2TP anyway.
Now there are two possible reasons — either the encryption and authentication algorithm sets (proposals) are incompatible between the client and the server, or your ISP is blocking IPsec ports (the dialect of English you use suggests it could be the case). But let’s be optimistic and belive it is just a configuration issue. As you say that «client does not connect from any Windows», does it mean Android, Mikrotik, iOS, or Linux clients do connect successfully even if use-ipsec is set to required?
Yes, you are right, it connects from Android. What encryption settings on Mikrotik will be compatible with Windows 10/11 ?
Источник
L2tp ipsec микротик не подключается
Здравствуйте, уважаемые форумчане!
Имеются: Два микротика: Микротик-1 с белым IP-адресом и второй, Микротик-2 с серым IP_адресом (Билайн).
Схема подключения:
Микротик_1 — Оператор (белый ip)
Микротик_2 — (по WiFi) Смартфон — Сотовый оператор Билайн (на время тестирования)
Задача: Организовать vpn-туннель для установки ip-телефона на удаленном участке.
Посоветовали воспользоваться с L2TP (или же не совсем правильный выбор?)
При поднятии сервера PPTP на Микротике-1 , второй микротик подключается сразу.
! А Вот при L2TP — не хочет по нормальному.
В данный момент картина такая:
Подключается микротик только , после того, как подключусь напрямую со смартфона разочек, а дальше могу подключаться и с самого микротика-2 и с ноутбука, который подключен к этому же микротику. НО, если не подключиться со смартфона хотя бы раз, перед тем как.. то ничего не получается.
При каждой попытке в логах на сервере появляется запись: nov/11 00:18:47 l2tp,info first L2TP UDP packet received from 85.115.248.7
——— Когда подключение не устанавливалось с микрота-2 ——————
nov/11 00:18:47 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:19:19 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:19:43 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:19 l2tp,info first L2TP UDP packet received from 85.115.248.7
————- Подключение со Смартфона напрямую ———————-
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256
nov/11 00:20:35 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:37 l2tp,ppp,info,account user2 logged in, 192.168.112.20
nov/11 00:20:37 l2tp,ppp,info : authenticated
nov/11 00:20:38 l2tp,ppp,info : connected
——— Удачное подлкючение с микротика-2 ————————
nov/11 00:20:51 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:53 l2tp,ppp,info,account user2 logged in, 192.168.112.19
nov/11 00:20:53 l2tp,ppp,info : authenticated
nov/11 00:20:53 l2tp,ppp,info : connected
———— Разъединение связи со Смартфоном —————————
nov/11 00:21:59 l2tp,ppp,info : terminating. — hungup
nov/11 00:21:59 l2tp,ppp,info,account user2 logged out, 82 2251 2084 39 22
nov/11 00:21:59 l2tp,ppp,info : disconnected
——— Отключил подключение на микротике-2 ————————
nov/11 00:32:28 l2tp,ppp,info : terminating.
nov/11 00:32:28 l2tp,ppp,info,account user2 logged out, 695 4204 2488 67 54
nov/11 00:32:28 l2tp,ppp,info : disconnected
——— Подлкючился снова с микротика-2 ————————-
nov/11 00:32:34 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:32:35 l2tp,ppp,info,account user2 logged in, 192.168.112.19
nov/11 00:32:35 l2tp,ppp,info : authenticated
nov/11 00:32:36 l2tp,ppp,info : connected
Дальше с Микротика-2 можно переподключаться сколько угодно..
Всё удачно и работает все нормально.
Источник
Настройка MikroTik L2TP Server + IPSec
В этой статье мы покажем, как сделать настройку L2TP Server с IPSec на MikroTik. Постараемся детально описать все нюансы и тонкости конфигурирования.
На сегодняшний день есть множество способов организовать VPN, но на мой взгляд L2TP является оптимальным выбором, так как данный протокол существует во всех ОС и имеет ряд преимуществ о которых мы поговорим ниже.
Настройка L2TP MikroTik для многих может оказаться не такой уж и простой задачей. Давайте разберемся на практике, так ли это сложно?
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Протокол L2TP не предоставляет механизмов шифрования, поэтому рассмотрим связку L2TP IPSec для подключения удаленных устройств к корпоративной сети. Узнаем как выполнить настройку туннеля L2TP IPSec между MikroTik, что позволит объединить офисы по данной технологии.
L2TP — это туннельный протокол служащий для организации виртуальных частных сетей, объединивший в себе лучшие функции протоколов PPTP (Microsoft) и L2F (Cisco).
IPSec – это набор протоколов служащий для шифрования, аутентификации и обеспечения защиты при отправке IP-пакетов. Основное применение нашел при организации VPN-соединений.
Mikrotik. Настройка L2TP Server
Рассмотрим детальную настройку двух видов туннелей L2TP + IPSec:
- Client-to-site – туннельное соединение, при котором конкретное устройство (ноутбук, домашний ПК) подключается к маршрутизатору. Примером может служить ситуация, когда сотрудник компании из дома подключается к сети организации и получает доступ к сетевым ресурсам;
- Site-to-Site – туннельное соединение, между роутерами Mikrotik.
Настройка туннеля L2TP + IPSec на Mikrotik (site-to-site). Объединяем два офиса
Попробуем объединить два офиса фирмы в одну виртуальную частную сеть (VPN) используя туннельный протокол L2TP в связке с IPSec на оборудовании Mikrotik.
Из схемы мы видим, что Mikrotik в главном офисе (GW1), будет настроен на роль L2TP Server + IPSec, со следующими настройками:
- Внешний IP (WAN): 111.111.111.111;
- IP-адрес VPN Server: 192.168.77.1;
- Адрес в LAN сети: 192.168.13.254.
MIkrotik в филиале (GW2) будет являться VPN-клиентом с настройками:
- Внешний IP (WAN): 222.222.222.222;
- IP-адрес VPN Client: 192.168.77.10;
- Адрес в LAN сети: 192.168.12.254.
Приступаем к настройке.
Настройка Mikrotik L2TP Server. Главный офис
Создаем профиль подключения
У Mikrotik в меню PPP есть два профиля по умолчанию, которые используются для PPP соединений. Рекомендуется не изменять профили по умолчанию, а создать и использовать под свою задачу новый.
Создадим профиль для подключения, в котором укажем имя для соединения, назначим статические IP-адреса для L2TP сервера и клиента. Отроем Winbox, перейдя:
- PPP => Profiles => “+”.
В окне New PPP Profiles, открыв, вкладку “General” укажем информацию:
- Name: l2tp-site-to-site;
- Local Address: 192.168.77.1;
- Remote Address: 192.168.77.10.
Рекомендуем для туннеля вида Site-to-Site назначить статические IP.
- произвольное имя для профиля(Name);
- присвоили IP для L2TP-Сервера (Local Address);
- IP-Адрес L2TP-Клиента (Remote Address).
Настраиваем Secret
На вкладке «Secrets» мы настраиваем имя, пароль и профиль подключения для L2TP-Клиента. Для этого выполним действия:
- Secrets => “+”;
- Name: office;
- Password: qwas1234;
- Profile: из выпадающего списка выбираем ранее созданный профиль (l2tp-site-to-site).
Рекомендуем придумывать сложные пароли. Минимум 12 символов разного регистра с использованием спец. символов.
Включаем L2TP Server и IPSec
Следующим шагом включим L2TP Server на Mikrotik указав профиль, метод аутентификации и ключ шифрования для IPSec. Выберем пункт меню Interface, настроим как показано на рисунке ниже:
Не забываем придумывать сложные пароли.
Создаем интерфейс
Создадим статический интерфейс L2TP Server Binding. Это позволит избежать проблемы с маршрутизацией между сетями, которые могут возникнуть при разрыве соединения.
Заполним открывшееся окно New interface. Вкладка «General»:
- Name – это произвольное имя интерфейса;
- User – имя пользователя, которое мы назначили на вкладке Secrets.
Настройка firewall
Добавим правила в наш файрвол, тем самым разрешая трафик для L2TP, два правила для IPSec и протокол Ipsec-esp:
- IP => Firewall => Filter Rules => “+”.
Добавим разрешающее правило для L2TP, который работает на 1701(UDP) порту:
После нажмем правой кнопкой мыши на созданное правило и добавим комментарий, нажав строку Comment из меню:
Добавим правило для UDP портов 4500, 500:
Добавим комментарий для этого правила, как показано выше.
Разрешим протокол IPsec-esp:
Очень важен порядок расположения правил. Ваш firewall после настроек должен выглядеть примерно следующим образом:
Для более глубокого понимания работы брандмауэра рекомендуем ознакомиться со статьей MikroTik настройка firewall.
На этом настройка L2TP Server Mikrotik закончена, перейдем к настройке клиентской части (филиала).
Настройка филиала (L2TP Client)
Выполним настройку L2TP клиента. Для этого необходимо на роутере Mikrotik добавить интерфейс с настройками подключения к главному филиалу указав его IP-адрес, идентичные значения IPSec и аутентификации.
Создадим свой профиль для подключения:
- PPP => Profiles => “+”.
На вкладке «General» укажем имя профиля:
Далее откроем вкладку «Protocols», установим обязательное шифрование:
- Use Encryption: Yes;
- OK.
Добавляем L2TP Client:
- Interface => “+”;
- L2TP Client.
- Укажем имя интерфейса.
Вкладка «Dial Out»:
- Connect To – указываем IP-адрес главного филиала (WAN);
- User – имя пользователя, созданное в разделе Secrets;
- Password – пароль учетной записи;
- Profile – профиль подключения созданный в предыдущем шаге;
- Устанавливаем галочку на пункте Use IPSec, активируя набор протоколов шифрования;
- IPsec Secret – вводим ключ шифрования IPSec как на сервере;
- В разделе Allow оставляем метод аутентификации mschap2.
Ждем некоторое время. Если мы все сделали правильно, то увидим букву “R” слева от имени подключения:
Статус туннеля можем посмотреть, зайдя в настройки интерфейса:
Здесь мы видим дату и время, когда туннель поднялся (Last Link Up Time), количество разрывов соединения (Link Downs), время жизни соединения (Uptime), метод шифрования (Encoding) и другие параметры.
Осталось настроить маршрутизацию между подсетями.
Настройка маршрутизации межу офисами
Пропишем маршруты на обоих роутерах Mikrotik. Так подсети увидят друг друга.
Для начала зайдем на роутер главного офиса (GW1), выполним следующие действия:
- IP => Routes => “+”.
Укажем удаленную подсеть и шлюз, который будет обрабатывать запросы:
- Dst. Address – Адрес удаленной подсети (филиал);
- Gateway – шлюз (созданный интерфейс в предыдущем шаге), который будет обрабатывать запросы с сети филиала.
Затем зайдем на Mikrotik филиала (GW2), добавим маршрут:
- IP => Routes => “+”.
Укажем подсеть главного офиса и назначим Gateway:
- Dst. Address – адрес удаленной подсети (главный офис);
- Gateway – шлюз (созданный интерфейс), который будет обрабатывать запросы с сети главного офиса.
Теперь филиалы видят друг друга. На этом настройка L2TP + IPSec между роутерами Mikrotik (Site-to-site), закончена.
Настройка L2TP Server + IPSec на Mikrotik (client-to-site)
Рассмотрим вариант подключения к L2TP Server удаленных сотрудников (client-to-site). На практике данный способ применяется, когда работник компании уехал в командировку и ему надо иметь доступ к внутренним ресурсам локальной сети фирмы. Таким образом, сотрудник со своего ноутбука устанавливает VPN соединение по которому получает доступ к локальным ресурсам сети.
Создаем пул адресов
Первым шагом назначим пул адресов, которые побудут получать клиенты, подключаемые по VPN:
- IP => Pool => “+”.
В окне “New IP Pool” укажем название пула и диапазон адресов:
Профиль подключения
Дальше создадим свой профиль для L2TP соединений:
- PPP => Profiles => “+”.
Выполним настройку профиля следующим образом:
- Name – произвольное имя профиля;
- Local Address – назначим адрес L2TP Серверу;
- Pool-адресов, из которого будут назначаться IP подключаемым пользователям (Remote Address);
- Change TCP MSS: yes –изменять максимально возможный размер сегмента TCP. Текущая настройка немного повысит устойчивость соединения.
- Use UpnP: no – отключим использование службы UPnP.
- Use MPLS: no – отключим многопротокольную коммутацию по меткам;
- Требовать шифрование.
На вкладке “Limits” ограничим подключение единственным соединением:
Создание пользователя
На вкладке “Secrets” укажем настройки имени пользователя, пароль и профиль для подключения:
- Name – произвольное имя пользователя. Желательно создавать интуитивно понятные имена;
- Password – пароль пользователя. Желательно использовать сложные пароли;
- Profiles – ранее созданный профиль для подключения.
Включаем L2TP Server
Осталось активировать L2TP Server на Mikrotik, выбрать метод аутентификации, задать профиль по умолчанию, включить IPSec и установить для него ключ шифрования:
- Interface => L2TP Server.
- Поставим галочку у пункта “Enabled”;
- Default Profile – укажем ранее созданный профиль, который будет использоваться по умолчанию для подключений.
- Оставим метод аутентификации mschap2;
- Use IPsec: yes – включаем использование IPSec;
- IPsec Secret – придумаем и установим ключ шифрования для IPSec.
- OK.
Настройка подключения на стороне клиента
На компьютере или ноутбуке сотрудника настроим VPN-соединение до L2TP Сервера. Приведу пример, как это можно сделать на ОС Windows 10.
Откроем “Центр управления сетями…”, затем создадим подключение, как показано на рисунке ниже:
Следующим шагом выберем вариант подключения:
Выполним подключение через Интернет с помощью VPN:
Следующим шагом введем внешний адрес (WAN) роутера Mikrotik и произвольное имя для соединения:
В нашем примере маршрутизатору Mikrotik назначен внешний IP 111.111.111.111, у вас это будет свой адрес.
Продолжим настройку VPN соединения:
Откроем свойства созданного соединения:
Перейдем на вкладку “Безопасность”, выполнив настройку как показано на рисунке ниже:
Откроем дополнительные параметры (5 шаг на рисунке) и укажем ключ IPSec, который мы указали ранее в настройках L2TP Server, параметром IPsec Secret:
Далее откроем вкладку “Сеть”, уберем галочку с протокола TCP/IPv6 и откроем свойства протокола TCP/IPv4:
Нажмем кнопку “Дополнительно” и запретим использовать основной шлюз в удаленной сети, сняв галочку с соответствующего пункта:
Важно! Игнорируя текущий пункт настройки, после установки VPN соединение пропадет интернет.
Подключаем созданное VPN-соединение:
Настройка маршрутизации L2TP-клиента
Подключение установилось. Следующим шагом укажем постоянный статический маршрут прописав шлюз для удаленной подсети.
Откроем командную строку с правами администратора и выполним команду:
route add 192.168.13.0 mask 255.255.255.0 10.10.10.1 if 49 /p
- 192.168.13.0 – локальная подсеть организации;
- 255.255.255.0 – маска этой подсети;
- 10.10.10.1 – шлюз (адрес устройства Mikrotik, который мы задавали в настройках профиля);
- 49 – номер созданного VPN интерфейса (можно узнать командой route print);
- /p – параметр, указывающий на то, что сделать маршрут постоянным. Иначе после перезагрузки данный маршрут удалится.
Пример, как можно посмотреть номер интерфейса:
На этом настройка L2TP Server + IPSec на Mikrotik закончена. Надеюсь, данная статья была для вас полезной.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Источник
Содержание
- Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
- Proxy-arp на внутреннем бридже
- Глюк default policy на микротик
- Ошибки firewall на всех этапах
- Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet
- Mikrotik l2tp nas error
- Mikrotik l2tp nas error
- Mikrotik l2tp nas error
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph2 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.
По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.
Ошибки firewall на всех этапах
Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input — серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.
Источник
Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet
При использовании Mikrotik за NAT (в частности за всякими USB GSM модемами) в режиме клиента L2TP/IPSec, у некоторых операторов в определенных режимах, получал проблему с ошибкой ipsec,error failed to pre-process ph2 packet.
Но с появлением RoS 6.38 появилась возможность справиться с ошибкой.
Итак, ошибка появляется в обычной конфигурации клиента L2TP как на картинке: 
Основная проблема в том, что политика IPSec, применяемая в такой настройке, прибита гвозьдями и использует ike1. Ike1 в свою очередь, в реализации RoS, имеет проблему при прохождении NAT без проброса портов и как отягчающие обстоятельство: множественные туннели с l2tp тоже не проходят из-а одного NAT (а количество клиентов на модеме огромное).
Решить проблему можно при использование IKE2 (а для кучи клиентов за одним NAT нужно отказаться от авторизации PSK в пользу RSA Signature), который невозможно настроить из меню выше, но можно сделать трюк: заходим в меню IP -> IPSec 
Копируем динамически создаваемый пир, и меняем в нем настройки как показано ниже: 
А именно меняем Exchange Mode на IKE2, в закладке Encryption настраиваем необходимые параметры шифрования.
Осталось отключить в настройках L2TP/IPSec использование IPSec.
Вот собственно и все, соединение поднимается, шифрование работает.
Источник
Mikrotik l2tp nas error
При использовании Mikrotik за NAT (в частности за всякими USB GSM модемами) в режиме клиента L2TP/IPSec, у некоторых операторов в определенных режимах, получал проблему с ошибкой ipsec,error failed to pre-process ph2 packet.
Но с появлением RoS 6.38 появилась возможность справиться с ошибкой.
Итак, ошибка появляется в обычной конфигурации клиента L2TP как на картинке:
.PNG)
Основная проблема в том, что политика IPSec, применяемая в такой настройке, прибита гвозьдями и использует ike1. Ike1 в свою очередь, в реализации RoS, имеет проблему при прохождении NAT без проброса портов и как отягчающие обстоятельство: множественные туннели с l2tp тоже не проходят из-а одного NAT (а количество клиентов на модеме огромное).
Решить проблему можно при использование IKE2 (а для кучи клиентов за одним NAT нужно отказаться от авторизации PSK в пользу RSA Signature), который невозможно настроить из меню выше, но можно сделать трюк: заходим в меню IP -> IPSec:
.PNG)
Копируем динамически создаваемый пир, и меняем в нем настройки как показано ниже:
.PNG)
А именно меняем Exchange Mode на IKE2, в закладке Encryption настраиваем необходимые параметры шифрования.
Осталось отключить в настройках L2TP/IPSec использование IPSec.
Вот собственно и все, соединение поднимается, шифрование работает.
Источник
Mikrotik l2tp nas error
Fri Apr 10, 2020 3:52 pm
I have just change my ISP router with a new RD4011iGS WIFI router (Mikrotik RB4011iGS+5HacQ2HnD). So far everything is working as expected except for the VPN. I have tried several things and it is not working as expected (as it was with the old router). It is a Home fiber connection. I omit the ONT connection with the router since it seems not to be related to the problem.
It seems to be a routing/firewall misconfiguration in the router.
I’m using OpenVPN (UDP) on a Synology NAS. I’m using a mobile phone as the tester of the VPN. Nothing has change on the server (NAS) or client (mobile) from former configuration just the router.
Current situation is: the tunnel get established properly. I’m «seeing» all the other element in my LAN (ICMP/UDP/TCP). I can connect to port 80 of an IP camera or to the printer server (http) properly. But I am NOT able to connect to the NAS server (web or other services). The NAS is ICMP visible since it responding to ping properly but I cannot access it via Web or SSH. I can not access Internet throught the VPN (in the mobile I have set that all traffic shall be tx to the VPN). I can access the router admin web page throught the VPN. This scenario is displayed in the Not Working image. LAN range is 192.168.0.0/24 and VPN 10.8.0.0/24. Synology NAS IP is 192.168.0.15 in LAN and 10.8.0.1 in VPN
— I have tried to check again both NAS config and mobile config trying to VPN connect withing the same LAN (mobile connected to LAN via WIFI, with a hairpin rule on mikrotik) and everything worked properly.
Current config:
— NAS directly conected to mikrotik with link agreggation 802.3ad bonding interface aggregated to
a bridge in mikrotik.
Firewall (Filter & NAT):
[admin@MikroTik] /ip firewall filter> print
So there is something that I am missing in the router’s configuration.
I have run out of ideas now. Can someone help me on this?
Источник
Mikrotik l2tp nas error
Mon Sep 30, 2019 1:06 pm
just as the title says, i am unable to establish VPN connection from my RB2011iLS-iN to L2TP VPN Server hosted on another MikroTik which i do not have access to, so not sure about model, but Server version has ROS Version 6.45.3, while my Client is on 6.45.6.
Credentials and IPSec key is fine, i can connect to VPN from a PC that is connected to MikroTik via LAN cable. But on that same mikrotik i cannot establish VPN Tunnel.
This is log file, if i haven’t disabled connection at the end, it would go to endless loop.
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 1:22 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 6:01 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 6:15 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 7:17 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 7:47 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 8:09 pm
Under L2TP server, IPsec is set to required or yes ?
Yes means the client can connect without IPsec while on required the client must provide the IPsec key.
Test it on both.
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 1:23 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 1:43 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 2:01 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 2:23 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 3:59 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 4:42 pm
Ok, i had to do some deeper troubleshooting. I’ve enabled «ipsed,!debug» logging on my MT and found this inside logs:
faata, NO-PROPOSAL-CHOSEN notify message, phase1 should be deleted.
So I’ve checked debug logs on a laptop to see the negotiation and found that connection established using 3des-aes128 with modp2048 PFS Group. On MT client, by default it was set to modp1024 PFS Group and no 3des. After making those changes, i have managed to establish connection to VPN! Thanks for giving a helping hand everyone
Источник
-
velter
- Сообщения: 15
- Зарегистрирован: 27 янв 2014, 13:55
Небольшие уточнения по описанному в топике вопросу.
Конфиг сейчас такой:
Код: Выделить всё
[admin@MikroTik] > export compact
# jan/02/1970 03:08:46 by RouterOS 6.7
# software id = A8W7-7LZ0
#
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] l2mtu=2290
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys wpa-pre-shared-key=41840244ECD3 wpa2-pre-shared-key=41840244ECD3
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip pool
add name=Pool ranges=192.168.0.2-192.168.0.254
add name=l2tp-pool ranges=192.168.253.2-192.168.253.100
/ip dhcp-server
add address-pool=Pool disabled=no interface=bridge1 name=server1
/ppp profile
add change-tcp-mss=yes local-address=192.168.254.1 name=l2tp remote-address=l2tp-pool
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
add address=10.190.100.111/24 interface=ether1 network=10.190.100.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 domain=home gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24 to-addresses=0.0.0.0
/ip route
add distance=1 gateway=10.190.100.254
/ip service
set api address=0.0.0.0/0 disabled=yes
set winbox disabled=yes
/ppp secret
add name=user1 password=userpassword1 profile=l2tp service=l2tp
/system leds
set 0 interface=wlan1
То, что попробовал сделать:
1. Включаю ноут напрямую в роутер в порт WAN. На компе ставлю айпишник из той же подсети, что и ван порт роутера(10.190.100.0). L2TP сессия поднимается на ура
2. Подключаю ноут к свитчу. Микрот подключаю к тому же свитчу. Сессия L2TP поднимается
3. Подключаю ноут к точке доступа. Микрот(а конкретнее его порт WAN) подключаю кабелем к той же точке доступа, которая раздает вай-фай для ноута. Пинг на роутер с ноута есть. Сессия L2TP не поднимается с ошибкой 809 (Удаленный сервер не отвечает…). Пробовал с разными точками доступа.
Исходя из всего этого делаем вывод, что л2тп сессия не поднимается только тогда, когда между компом, поднимающим сессию и микротом есть беспроводная сеть.
Куда можно попробовать копать?
-
podarok66
- Модератор
- Сообщения: 4225
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
27 янв 2014, 14:50
velter писал(а):Исходя из всего этого делаем вывод, что л2тп сессия не поднимается только тогда, когда между компом, поднимающим сессию и микротом есть беспроводная сеть.
Вывод: и при чем здесь Микротик? По-моему ни при чем.
velter писал(а):Куда можно попробовать копать?
Да в принципе, все равно, куда Вы там копать соберетесь. Вы бы лучше настройки на точке доступа посмотрели, чем копать чего-то там…
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? … Тогда Netinstal’ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем…
-
velter
- Сообщения: 15
- Зарегистрирован: 27 янв 2014, 13:55
27 янв 2014, 15:01
Да в принципе, все равно, куда Вы там копать соберетесь. Вы бы лучше настройки на точке доступа посмотрели, чем копать чего-то там…
Я только начал заниматься проблемой. Сегодня попробую вечером на вновь настроенной ТД и отпишусь. Ломать существующую нельзя, потому что слишком много людей юзают.
-
velter
- Сообщения: 15
- Зарегистрирован: 27 янв 2014, 13:55
28 янв 2014, 10:16
Взял роутер ТП-Линк WR740N. Включил его. Сбросил настройки. Настроил на нем правильные сети. Подключил к ЛАН порту роутера Wan порт микротика.
Подключаю к роутеру кабелем ноутбук. Л2ТП на микрот коннектится нормально.
Настроил Ви-Фи без защиты. Подключаюсь к нему, Л2ТП сессия с ноута подключается нормально.
Настроил Ви-Фи с WPA2 Personal защитой. Л2ТП сессия подключается нормально.
Соответственно, появляется понимание того, что проблема в тех железяках, на которых это все тестировалось ранее. Однако хотелось бы разобраться, в чем конкретно она может быть.
-
velter
- Сообщения: 15
- Зарегистрирован: 27 янв 2014, 13:55
29 янв 2014, 09:30
В логах микрота в момент подключения с виндовой машины появляется следующее:
Код: Выделить всё
15:43:14 ipsec,debug,packet ==========
15:43:14 ipsec,debug,packet 68 bytes message received from 10.190.100.110[500] to 10.190.100.111[500]
15:43:14 ipsec,debug,packet a5f05e84 92fb61d4 c566675d 7e83da97 05100201 00000000 00000044 bb168316
15:43:14 ipsec,debug,packet 574302b2 08c00ca2 26ecf94d 4c6826f6 32a1cd96 f4536870 1114aa3f 668417cc
15:43:14 ipsec,debug,packet 586852e3
15:43:14 ipsec,debug,packet malformed cookie received or the spi expired.
15:43:20 system,info log rule added by admin
15:43:30 ipsec,debug,packet ==========
15:43:30 ipsec,debug,packet 68 bytes message received from 10.190.100.110[500] to 10.190.100.111[500]
15:43:30 ipsec,debug,packet a5f05e84 92fb61d4 c566675d 7e83da97 05100201 00000000 00000044 bb168316
15:43:30 ipsec,debug,packet 574302b2 08c00ca2 26ecf94d 4c6826f6 32a1cd96 f4536870 1114aa3f 668417cc
15:43:30 ipsec,debug,packet 586852e3
15:43:30 ipsec,debug,packet malformed cookie received or the spi expired.
15:45:10 system,info,account user admin logged in via local -
podarok66
- Модератор
- Сообщения: 4225
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
03 мар 2014, 15:00
velter писал(а):Тема закрыта. От микротика отказались.
Не Вы тему открывали, не вам и закрывать.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? … Тогда Netinstal’ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем…
-
velter
- Сообщения: 15
- Зарегистрирован: 27 янв 2014, 13:55
03 мар 2014, 15:04
podarok66 писал(а):
velter писал(а):Тема закрыта. От микротика отказались.
Не Вы тему открывали, не вам и закрывать.
Я просто коллега открывшего тему человека, которому делегировали эту задачу, когда коллега не мог в ней разобраться 
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
03 мар 2014, 15:09
вы то далеко тоже не ушли 