RG493G nefungující nastavení L2TP

cz01

Dobrý den,

snažím se nakonfigurovat VPN připojení přes L2TP/IP sec na mikrotiku, ale zatím se mi nedaří - PPTP připojení jsem na něm rozfungoval a funguje korektně. Jelikož nemám mnoho zkušeností s konfigurací na mikrotiku, pouze nějaké základy, tak jsem Vás chtěl požádat o pomoc.

L2TP / IP sec konfiguraci jsem prováděl podle návodu zde https://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec.

Podle zapnutých logů na mikrotiku l2tp a ipsec usuzuju, že problém je v řádce

10:43:07 ipsec,debug invalid length of payload

Windows 10 client mi hlásí chybu

The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer

Mikrotik log

10:42:52 ipsec,debug,packet 81c119cd a0cf63f5

10:42:52 ipsec,debug,packet encryption(3des)

10:42:52 ipsec,debug,packet with key:

10:42:52 ipsec,debug,packet 78112fa0 d9547320 07d26e8e 604436c4 fe733aab 92cbfb03

10:42:52 ipsec,debug,packet decrypted payload by IV:

10:42:52 ipsec,debug,packet e5be8190 c249532a

10:42:52 ipsec,debug,packet decrypted payload, but not trimed.

10:42:52 ipsec,debug,packet 4c3474c4 2ea99c81 1f70d5af 88d08df0 7f3c5ec1 4fb27e4b 59994f42 0e641c22

10:42:52 ipsec,debug,packet 5ed604fd cfcc702f

10:42:52 ipsec,debug,packet padding len=48

10:42:52 ipsec,debug,packet skip to trim padding.

10:42:52 ipsec,debug,packet decrypted.

10:42:52 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 05100201 00000000 00000044 4c3474c4

10:42:52 ipsec,debug,packet 2ea99c81 1f70d5af 88d08df0 7f3c5ec1 4fb27e4b 59994f42 0e641c22 5ed604fd

10:42:52 ipsec,debug,packet cfcc702f

10:42:52 ipsec,debug,packet begin.

10:42:52 ipsec,debug,packet seen nptype=5(id)

10:42:52 ipsec,debug invalid length of payload

10:42:55 ipsec,debug,packet 188 bytes from MIKROTIK-VPN-SERVER-PUBLIC-IP[500] to MY-PUBLIC-IP[500]

10:42:55 ipsec,debug,packet sockname MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:42:55 ipsec,debug,packet send packet from MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:42:55 ipsec,debug,packet send packet to MY-PUBLIC-IP[500]

10:42:55 ipsec,debug,packet src4 MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:42:55 ipsec,debug,packet dst4 MY-PUBLIC-IP[500]

10:42:55 ipsec,debug,packet 1 times of 188 bytes message will be sent to MY-PUBLIC-IP[500]

10:42:55 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 04100200 00000000 000000bc 0a000084

10:42:55 ipsec,debug,packet 23d633dc d4cd88f9 94313496 f4841520 6131cd2a c53d05fd dfceaa3b ddd9d9bb

10:42:55 ipsec,debug,packet 46f663d4 f2980f87 5154523e bce95549 3f2a9850 7f8ab958 e3f8f4f7 192ab79d

10:42:55 ipsec,debug,packet 4999da1b 535127fe c7d42aeb a7716030 0707dfdb fddefcfc 3ba1f8d7 7281197b

10:42:55 ipsec,debug,packet 21c46ad0 7bc60280 cc54202a e47529c2 635fec7a 5430f184 31282440 dadb153f

10:42:55 ipsec,debug,packet 0000001c 8075b68a 1c7d2ae8 01ba96ca c85dc068 b7b116b6 2f995df1

10:42:55 ipsec,debug,packet resend phase1 packet 998a13d3edf07965:7623fd53694088d0

10:43:05 ipsec,debug,packet 188 bytes from MIKROTIK-VPN-SERVER-PUBLIC-IP[500] to MY-PUBLIC-IP[500]

10:43:05 ipsec,debug,packet sockname MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:43:05 ipsec,debug,packet send packet from MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:43:05 ipsec,debug,packet send packet to MY-PUBLIC-IP[500]

10:43:05 ipsec,debug,packet src4 MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:43:05 ipsec,debug,packet dst4 MY-PUBLIC-IP[500]

10:43:05 ipsec,debug,packet 1 times of 188 bytes message will be sent to MY-PUBLIC-IP[500]

10:43:05 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 04100200 00000000 000000bc 0a000084

10:43:05 ipsec,debug,packet 23d633dc d4cd88f9 94313496 f4841520 6131cd2a c53d05fd dfceaa3b ddd9d9bb

10:43:05 ipsec,debug,packet 46f663d4 f2980f87 5154523e bce95549 3f2a9850 7f8ab958 e3f8f4f7 192ab79d

10:43:05 ipsec,debug,packet 4999da1b 535127fe c7d42aeb a7716030 0707dfdb fddefcfc 3ba1f8d7 7281197b

10:43:05 ipsec,debug,packet 21c46ad0 7bc60280 cc54202a e47529c2 635fec7a 5430f184 31282440 dadb153f

10:43:05 ipsec,debug,packet 0000001c 8075b68a 1c7d2ae8 01ba96ca c85dc068 b7b116b6 2f995df1

10:43:05 ipsec,debug,packet resend phase1 packet 998a13d3edf07965:7623fd53694088d0

10:43:07 ipsec,debug,packet ==========

10:43:07 ipsec,debug,packet 68 bytes message received from MY-PUBLIC-IP[500] to MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:43:07 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 05100201 00000000 00000044 617cebe2

10:43:07 ipsec,debug,packet ee90eaaa 04a061da 1eeacfce 76852e81 0a184105 ae6f8733 dabb02f2 81c119cd

10:43:07 ipsec,debug,packet a0cf63f5

10:43:07 ipsec,debug,packet encryption(3des)

10:43:07 ipsec,debug,packet IV was saved for next processing:

10:43:07 ipsec,debug,packet 81c119cd a0cf63f5

10:43:07 ipsec,debug,packet encryption(3des)

10:43:07 ipsec,debug,packet with key:

10:43:07 ipsec,debug,packet 78112fa0 d9547320 07d26e8e 604436c4 fe733aab 92cbfb03

10:43:07 ipsec,debug,packet decrypted payload by IV:

10:43:07 ipsec,debug,packet e5be8190 c249532a

10:43:07 ipsec,debug,packet decrypted payload, but not trimed.

10:43:07 ipsec,debug,packet 4c3474c4 2ea99c81 1f70d5af 88d08df0 7f3c5ec1 4fb27e4b 59994f42 0e641c22

10:43:07 ipsec,debug,packet 5ed604fd cfcc702f

10:43:07 ipsec,debug,packet padding len=48

10:43:07 ipsec,debug,packet skip to trim padding.

10:43:07 ipsec,debug,packet decrypted.

10:43:07 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 05100201 00000000 00000044 4c3474c4

10:43:07 ipsec,debug,packet 2ea99c81 1f70d5af 88d08df0 7f3c5ec1 4fb27e4b 59994f42 0e641c22 5ed604fd

10:43:07 ipsec,debug,packet cfcc702f

10:43:07 ipsec,debug,packet begin.

10:43:07 ipsec,debug,packet seen nptype=5(id)

10:43:07 ipsec,debug invalid length of payload

10:43:15 ipsec,debug,packet 188 bytes from MIKROTIK-VPN-SERVER-PUBLIC-IP[500] to MY-PUBLIC-IP[500]

10:43:15 ipsec,debug,packet sockname MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:43:15 ipsec,debug,packet send packet from MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:43:15 ipsec,debug,packet send packet to MY-PUBLIC-IP[500]

10:43:15 ipsec,debug,packet src4 MIKROTIK-VPN-SERVER-PUBLIC-IP[500]

10:43:15 ipsec,debug,packet dst4 MY-PUBLIC-IP[500]

10:43:15 ipsec,debug,packet 1 times of 188 bytes message will be sent to MY-PUBLIC-IP[500]

10:43:15 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 04100200 00000000 000000bc 0a000084

10:43:15 ipsec,debug,packet 23d633dc d4cd88f9 94313496 f4841520 6131cd2a c53d05fd dfceaa3b ddd9d9bb

10:43:15 ipsec,debug,packet 46f663d4 f2980f87 5154523e bce95549 3f2a9850 7f8ab958 e3f8f4f7 192ab79d

10:43:15 ipsec,debug,packet 4999da1b 535127fe c7d42aeb a7716030 0707dfdb fddefcfc 3ba1f8d7 7281197b

10:43:15 ipsec,debug,packet 21c46ad0 7bc60280 cc54202a e47529c2 635fec7a 5430f184 31282440 dadb153f

10:43:15 ipsec,debug,packet 0000001c 8075b68a 1c7d2ae8 01ba96ca c85dc068 b7b116b6 2f995df1

10:43:15 ipsec,debug,packet resend phase1 packet 998a13d3edf07965:7623fd53694088d0

10:43:17 l2tp,ppp,debug,packet pptp-out1: rcvd LCP EchoReq id=0x38

10:43:17 l2tp,ppp,debug,packet <magic 0x4db3c371>

10:43:17 l2tp,ppp,debug,packet pptp-out1: sent LCP EchoRep id=0x38

10:43:17 l2tp,ppp,debug,packet <magic 0x7a7e756b>

10:43:25 ipsec,debug phase1 negotiation failed due to time up. 998a13d3edf07965:7623fd53694088d0

10:43:37 l2tp,debug,packet sent control message to 90.178.199.162:1701

10:43:37 l2tp,debug,packet tunnel-id=613, session-id=0, ns=70, nr=68

10:43:37 l2tp,debug,packet (M) Message-Type=HELLO

10:43:37 l2tp,debug,packet rcvd control message (ack) from 90.178.199.162:1701

10:43:37 l2tp,debug,packet tunnel-id=3063, session-id=0, ns=68, nr=71

10:43:37 l2tp,debug,packet rcvd control message from 90.178.199.162:1701

10:43:37 l2tp,debug,packet tunnel-id=3063, session-id=0, ns=68, nr=71

10:43:37 l2tp,debug,packet (M) Message-Type=HELLO

10:43:37 l2tp,debug,packet sent control message (ack) to 90.178.199.162:1701

10:43:37 l2tp,debug,packet tunnel-id=613, session-id=0, ns=71, nr=69

Pre shared key jsem x krát kontroloval a měl by být stejný, jak na mikrotiku, tak i na klientovi

Verze Router OS 5.6

cz01

Napadá někoho, na co bych se měl soustředit a v čem může být problém (zavřené porty po cestě, ...) ? Pokud je potřeba doplnit další informace, prosím o info které.

Díky

majklik

Pokud tma máš doopravdy ROS5.6, tak bych začal upgradem na něco aktuálního v řadě 6.x, protože se věci kolem L2TP/IPsec dost změnily.

cz01

Lehce jsem koukal do change logu, o víkendu se budu stavovat do domu, kde je mikrotik umístěn (mikrotik mají u sebe rodiče) a hodlám ho upgradovat, po VPN toto nepřipadá v úvahu :)

Upgraduji a uvidím, zda to pomohlo.

majklik

Zkus tam dát 6.33.3. S ní mám proti Windows 7 vyzkoušenu následující konfiguraci, pro Win 10 by mohla fungovat také, pro starší WinXP po drobné úravě při povolení slabších šiferm/DH/hashů. Předpokládám, že budeš chtít naIPsec vrstvě použít sdlená hesla (v reálu používám certifikáty), takže IPsec vrstva:

/ip ipsec policy group

add name=gr-l2tp/ipsec

/ip ipsec proposal

add auth-algorithms=sha1,sha256 enc-algorithms=aes-256-cbc lifetime=1h name=prop-l2tp/ipsec pfs-group=modp4096

/ip ipsec policy

add group=gr-l2tp/ipsec proposal=prop-l2tp/ipsec template=yes

/ip ipsec peer

add address=0.0.0.0/0 dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=main-l2tp generate-policy=port-override local-address=0.0.0.0 passive=yes policy-template-group=gr-l2tp/ipsec secret=TajneHeslo send-initial-contact=no

Toto by mělo stačit v IPsecu na to, aby ti to obalilo funkční L2TP. V L2TP a PPP, pro jistotu, mám něco jako:

/ppp profile

add change-tcp-mss=yes dns-server=8.8.8.8 incoming-filter=rw-in local-address=10.84.255.172 name=l2tp/ipsec use-upnp=no

/ppp secret

add name=test password=TEST profile=l2tp/ipsec remote-address=10.84.255.173 service=l2tp

/interface l2tp-server server

set authentication=chap,mschap2 default-profile=l2tp/ipsec enabled=yes max-mru=1400 max-mtu=1400

A je vhodné pořešit i firewall. Na začátku, ještě před sekcí, která povoluje automaticky vše estalished,related:

/ip firewall filter

add chain=input comment="Nepust dovnitr L2TP bez IPsec obalky" dst-port=1701 ipsec-policy=in,ipsec protocol=udp

add action=drop chain=input dst-port=1701 protocol=udp

add chain=output comment="Nepust ven L2TP odpoved serveru bez IPsec obalky" ipsec-policy=out,ipsec protocol=udp src-port=1701

add action=reject chain=output protocol=udp src-port=1701

Potom i povolit vlastní příchozí IPsec:

add chain=input comment="wan-in: IPsec, IKEv1, IPsec over UDP" connection-state=new protocol=ipsec-esp

add chain=input connection-state=new dst-port=500,4500 protocol=udp

A pak je vhodné povolit i to, co pak přileze vnitřkem toho L2TP tunelu:

add action=jump chain=input comment="filtr na data od road-warriors" jump-target=ppp

add action=jump chain=forward jump-target=ppp

add chain=rw-in comment="=== rw-in: co jde od road-warriors pres VPN povolit" connection-state=new

Toť vše.

cz01

Dnes jsem se dostal k nahrání aktuální verze, použil jsem 6.33.5, ale přesto mi L2TP VPN nefungovala - zkusil jsem tedy přiloženou konfiguraci a ta už funguje korektně.

Při hledání rozdílů v konfiguraci jsem narazil na tyto rozdíly:

- /ppp profile - remote address - má verze obsahovala vyplněný DHCP pool, v návodu tady chybí vyplněno

- jako local address jsem vyplnil vnitřní ip adresu mikrotik routeru, u remote address předpokládám, že slouží k přidělení ip adresy pro l2tp připojení - proč tedy nemusí být vyplněno a přesto to funguje?

- tento rozdíl tedy nezpůsobuje nefunkčnost připojení L2TP - zkoušel jsem použít mojí profile konfiguraci a v pořádku jsem se připojil

- /ppp secrets - remote address - zde v návodu je vyplněno, v mé verzi toto vyplněno nebylo a nemohl jsem se bez toho připojit

- k čemu tedy slouží local a remote address v této sekci a co se tam má vyplnit?

- já tedy pro remote address vyplnil volnou ip adresu vnitřní sítě

- pro PPTP spojení remote address nemám vyplněno a funguje mi také

- /ip sec peers - zde to bylo pár drobností - send initial contact a měl jsem větší podmnožinu algoritmů

Tímto bych vám chtěl poděkovat za pomoc při rozchození VPN :)

vajkooo

Ahojte,

potreboval by som pomoct s rovnakym problemom. Vyskusal som konfiguraciu vyssie ale nepomohlo to vyriesit moj problem. Vedeli by ste mi prosim poradit co to este moze byt?

Dakujem

maartinek

Zkus se podivat sem: https://ispforum.cz/viewtopic.php?p=195465#p195465