L2TP/IPSEC

hellboycze

Zdravim. Mate nekdo zkusenost s nastavenim L2TP/IPSEC VPN pro (nejen) Windows klienty? Nedari se mi to nastavit. Mimo jine to skonci chybou phase1 negotiation failed due to time up. Uz si s tim opravdu nevim rady. Diky za jakykoliv podnet.

fang

V minulosti jsem používal nicméně jsem v pozdějších verzích MK v6 začal narážet na různé problémy jako popisuješ. Mimo to se mi nikdy nepodařilo donutit klienta z Windows používat něco jiného než MD5-AES (přenastaveno přes IPSEC manager v mmc). Problémy s L2TP/IPSEC může způsobovat i NAT po cestě, obecně mi IPSEC s NATem příjde takovej dost krkolomnej. Vyžaduje hromadu portů a protokolů co musí být povolena což v znamená že pokud jedna z těhlech věcí nejde tak nejde ani VPNka. Moje rada je zkus na MK SSTP VPN, běhá po standardním HTTPs portu a od té doby co ho používám pro "road warriory" sem s ním neměl problém.

maartinek

Mate nekdo zkusenost s nastavenim L2TP/IPSEC...

Pokud je to téma ještě aktuální, tak mám zkušeností mnoho. Tedy řešil jsem to hodně někdy v zimě a s konfigurací mi pomáhal jeden zdejší velice hodný pán, ale nakonec se vše povedlo. Navíc tam měl Mikrotik asi nějaký bug... Nicméně nyní vše funguje. Používám právě L2TP/IPSEC kombinaci se zařizeníma s Win, Android a jiné Mikrotiky a vše bez problémů. Tak kdyžtak napiš.

basty

Mate nekdo zkusenost s nastavenim L2TP/IPSEC...

Super, hodis konf?

maartinek

Tak, zde je moje konfigurace. Připojuji se z platforem Mikrotik, Windows 7/10, Android a Windows Phone. Prosím, pokud tam někdo najde něco, co vylepšit, budu jen rád, protože vždy je co vylepšit.... Snad jsem na nic nezapomněl.

IP adresy 192.168.xx.xx si samozřejmě nahraďte svýma platnýma IP.

/interface l2tp-server server

set authentication=mschap2 default-profile=l2tp/ipsec enabled=yes max-mru=1460 max-mtu=1460

/ppp profile

add address-list=VPN change-tcp-mss=yes incoming-filter=rw-in local-address=192.168.xx.xx name=l2tp/ipsec remote-address=pool-vpn use-encryption=required use-upnp=no

/ppp secret

add name=JmenoUzivatele password="TajneHeslo123" profile=l2tp/ipsec service=l2tp

/ip pool

add name=pool-vpn ranges=192.168.xx.xx-192.168.xx.xx

/ip dhcp-server network

add address=192.168.xx.xx/24 comment=VPN gateway=192.168.xx.xx netmask=24

/ip ipsec peer

add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp generate-policy=port-override local-address=0.0.0.0 passive=yes policy-template-group=gr-l2tp/ipsec secret=PreSharedKeyPWD send-initial-contact=no

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des pfs-group=modp4096

add enc-algorithms=aes-256-cbc name=prop-l2tp/ipsec pfs-group=modp4096

/ip firewall filter

add action=accept chain=input comment="Nepust dovnitr L2TP bez IPsec obalky" dst-port=1701 ipsec-policy=in,ipsec log-prefix="" protocol=udp

add action=drop chain=input dst-port=1701 log-prefix="" protocol=udp

add action=accept chain=output comment="Nepust ven L2TP odpoved serveru bez IPsec obalky" ipsec-policy=out,ipsec log-prefix="" protocol=udp src-port=1701

add action=reject chain=output log-prefix="" protocol=udp reject-with=icmp-network-unreachable src-port=1701

add action=accept chain=input comment="wan-in: IPsec, IKEv1, IPsec over UDP" connection-state=new log-prefix="" protocol=ipsec-esp

add action=accept chain=input connection-state=new dst-port=500,4500 log-prefix="" protocol=udp

add action=jump chain=input comment="filtr na data od road-warriors" jump-target=ppp log-prefix=""

add action=jump chain=forward jump-target=ppp log-prefix=""

add action=accept chain=rw-in comment="=== rw-in: co jde od road-warriors pres VPN povolit" connection-state=new log-prefix=""

david86

Existuje nejake funkcni reseni pro vice klientu pripojenych za jednim natem? Kdy je problem s IPsecem... Viz http://forum.mikrotik.com/viewtopic.php?t=82980

Jeste bych se zeptal, jakou uroven HASH a DH pouzivate? Android 6, se mi nechce spojit s SHA256, presto, ze jsem se docetl, ze od SHA1 pomalu android ustupuje a preferuje SHA256.

Na MACu mi po aktualizaci OS funguje dobre v kombinaci SHA256, AES-256 CBC, MODP2048.

Resp. jde mi o max. moznou uroven zabezpeceni, ktera bude fungovat na ANDROIDU - aktualne 6.0, IPHONU a na MACU - vse s poslednim OS.

mohicanos

to: martinek

Ahoj skusil som to s tvojou konfiguracou L2TP/ipsec no bohuzial to nefunguje

v logu je akurát FIRST L2TP UDP packet received from .... ale dalej nic

v Policies sa dynamicky vytvori zaznam kde src adresa je moja verejna IP a dst adresa je verejna IP odkial sa pripojujem, neviem ci to je spravne, ale asi nie, podla mna by tam mala byt src?VPN pool com som vytvrol a DST Adresa by mala byt Ip adresa routru, ci nie?

vdaka za odpoved

majklik

Ty SA pravidla jsou fakticky vygenerované obousměrně, ale ROS ti ukazje jen jeden směr, takže to je OK.

Pokud ti dokde první L2TP paket, tak IPsec se ustanovil a funguje minimálně směrme k tobě.

Jak jsi na tom s tou veřejnou IPv4 adresou? Máš ji přímo na svém routeru nebo dělá ISP na tebe NAT1 někde u sebe?

Pokud je ti konktivita doručována pomocí DSTNATu, tak v tom případě ROS neumí správně vygenerovat ty dynamické SA pravidla a nefunguje to (respektive k tobě to dojde, ale odpověď zpět jde už mimo IPsec. Projevuje se to jak popisuješ, hlásí ti to, že došel první L2TP paket a dál už nic.

Pokud je tomu tak, tak takovou malou flignou to jde nastavit v tom Mikrotiku, aby to fungovalo.

hocimin1

Pokud je tomu tak, tak takovou malou flignou to jde nastavit v tom Mikrotiku, aby to fungovalo.

A jaka je ta ficura

majklik

Fičura ne, spíše podvod s dvojitým NATem. Řekněme, že jsem připojen přes fuj ISPíka, co mi doručuje veřejnou IP přes DSTNAT 1 na jeho bráně, kdy veřejku mám 198.51.100.66 a na wan portu ether1 svého routeru mám neveřejnou IP adresu 100.99.88.77, pak to vypadá takto:

/interface bridge

add admin-mac=02:00:00:00:00:01 auto-mac=no name=bridge-pubip protocol-mode=none

/ip address

add address=100.99.88.77/24 interface=ether1

add address=198.51.100.66/32 interface=bridge-pubip

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1

add action=dst-nat chain=dstnat dst-address=100.99.88.77 dst-port=500,4500 protocol=udp to-addresses=198.51.100.66

add action=dst-nat chain=dstnat dst-address=100.99.88.77 protocol=ipsec-esp to-addresses=198.51.100.66

Tímto si tu veřejku posunu z CGN na svůj rotuer, příchozí spojení na IPsec přenatuje pakety jdoucí na neveřejku na veřejku a odpověď převede zpět na neveřejku ta maškráda. Toto způsobí, že dynamicky vegenerované SA policy pro L2TP/IPsec server, které nevezme v potaz NAT na straně serveru, si sedne a funguje to jak má a komunikace se vrcí do IPsec tansportu a neutíká bokem. Je vhodné u /ip ipsec peer mít definováno natvrdo svoji zdrojovou adresu na to 198.51.100.66.

Aneb, NAT1 na CGN je zlo. :-)

hocimin1

ted se na jednom serveru dostava k problemu

16 ipsec,debug failed to get proposal.

16 ipsec,error failed to pre-process ph2 packet

a na jinem to bezi v pohode.

ten kde to hazi chybu do logu je x86 s 6.24 a kde to bezi OK je RB951G-2HnD s 6.32.4

koldavideo

Zdravím vás,

předně bych chtěl říct že jsem zatím začátečník. Snažím se spojit 2 mikrotiky (chata, RD) jako klienty s hlavním mikrotikem - serverem na firmě. Použil jsem L2TP VPN bez IPSec a vše chodilo jak mělo. Klient z chaty (10.0.2.0/24 - user2) se připojuje pomocí LTE modemu, kde mám i skript který hlídá ping na google, takže když spadle připojení, provede se restart. Hlavní mikrotik má veřejnou IP adresu, je za ADSL modemem a je v DMZ zóně. Další mikrotik z rodiného domu (10.0.1.0/24 - user1)se připojuje také jako klient L2TP. Veškeré problémy začaly ale když jsem připojoval iphone do vpn. Narazil jsem na to, že apple nepodporoval L2TP bez sdíleného klíče. Protože jsem na to neusále nemohl přijít, nastavil jsem na telefonu klienta pptp. Bohužel jen do doby příchodu ios10, kde už pptp není. Takže mi nezbývá než najít řešení pomocí L2TP + IPSec. Popravdě jsem z toho už naprosto zoufalý:-(

udělal jsem export z firemního - hlavního mikrotiku, kde je spuštěný l2tp server. Můžete mi prosím napsat kde je chyba. Určitě mám v nastavení plno zmatených nastavení, které vznikaly při pokusech. Každopádně teď to běží s tímto kódem a klienti se dále připojují bez ipsec - což nechápu.

MŮŽETE MI PROSÍM PORADIT?

DĚKUJI

# nov/02/2016 14:43:18 by RouterOS 6.37.1

# software id = REJ2-MPPT

/interface bridge

add admin-mac=DE:CA:66:06:EE:B7 auto-mac=no mtu=1500 name=bridge-local

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \

country="czech republic" disabled=no distance=indoors mode=ap-bridge ssid=\

wifi_net wireless-protocol=802.11

/interface ethernet

set [ find default-name=ether1 ] name=ether1-gateway

set [ find default-name=ether2 ] name=ether2-master-local

set [ find default-name=ether3 ] master-port=ether2-master-local name=\

ether3-slave-local

set [ find default-name=ether4 ] master-port=ether2-master-local name=\

ether4-slave-local

set [ find default-name=ether5 ] master-port=ether2-master-local name=\

ether5-slave-local

/ip neighbor discovery

set ether1-gateway discover=no

/interface wireless security-profiles

set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \

wpa-pre-shared-key=123456789 wpa2-pre-shared-key=123456789

/ip ipsec policy group

add name=L2TP_IPSec

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=\

aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=8h pfs-group=modp4096

add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=8h name=\

prop_L2TP_IPSec pfs-group=modp4096

/ip pool

add name=DHCP_pool ranges=192.168.88.101-192.168.88.254

add name=VNP_pool ranges=192.168.88.90-192.168.88.99

/ip dhcp-server

add address-pool=DHCP_pool disabled=no interface=bridge-local name=default

/ppp profile

set *0 change-tcp-mss=default

add address-list=192.168.88.90-192.168.88.99 change-tcp-mss=yes dns-server=\

8.8.8.8 incoming-filter=rw-in local-address=192.168.88.1 name=L2TP_IPSec \

remote-address=VNP_pool use-encryption=required use-upnp=no

/interface bridge port

add bridge=bridge-local interface=ether2-master-local

add bridge=bridge-local interface=wlan1

add bridge=bridge-local interface=ether1-gateway

/interface l2tp-server server

set authentication=mschap2 default-profile=L2TP_IPSec enabled=yes ipsec-secret=\

heslo max-mru=1460 max-mtu=1460 mrru=1600 use-ipsec=yes

/interface pptp-server server

set authentication=pap,chap,mschap1,mschap2

/ip address

add address=192.168.88.1/24 comment="default configuration" interface=\

ether2-master-local network=192.168.88.0

add address=192.168.121.170/24 disabled=yes interface=ether1-gateway network=\

192.168.121.0

/ip dhcp-client

add comment="default configuration" dhcp-options=hostname,clientid interface=\

bridge-local

/ip dhcp-server lease

add address=192.168.88.124 mac-address=B8:27:EB:8E:D0:DF server=default

/ip dhcp-server network

add address=192.168.88.0/24 comment="default configuration" dns-server=\

192.168.88.1 gateway=192.168.88.1 netmask=24

/ip dns

set allow-remote-requests=yes servers=192.168.88.100

/ip dns static

add address=192.168.88.1 name=router

add address=192.168.10.1 name=Helemik

/ip firewall filter

add action=accept chain=input comment="Nepustit dovnitr L2TP bez IPSec obalky" \

dst-port=1701 ipsec-policy=in,none protocol=udp

add action=drop chain=input dst-port=1701 protocol=udp

add action=accept chain=output comment="Nepustit ven L2TP bez IPSec obalky" \

ipsec-policy=out,none protocol=udp src-port=1701

add action=reject chain=output protocol=udp reject-with=\

icmp-network-unreachable src-port=1701

add action=accept chain=input comment="wan-in: IPSec, IKE1, IPSec over UDP" \

connection-state=new protocol=ipsec-esp

add action=accept chain=input comment="VPN Iphone" connection-state=new \

dst-port=500,4500 protocol=udp

add action=jump chain=input comment="Filtr na dat od road-warriors" \

jump-target=ppp

add action=jump chain=forward jump-target=ppp

add action=accept chain=rw-in comment=\

"===rw-in: co jde od road warriors pres VPN povolit" connection-state=new

add action=accept chain=input protocol=ipsec-ah

add action=accept chain=input dst-port=80 protocol=tcp

add action=accept chain=input protocol=icmp

add action=accept chain=input comment="default configuration" connection-state=\

add action=accept chain=forward comment="default configuration" \

connection-state=""

add action=drop chain=forward comment="default configuration" connection-state=\

/ip firewall nat

add action=masquerade chain=srcnat

add action=dst-nat chain=dstnat comment="IP kamera" disabled=yes dst-port=\

7011 protocol=tcp to-addresses=192.168.88.11 to-ports=7000

/ip ipsec peer

add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp \

generate-policy=port-override local-address=0.0.0.0 passive=yes \

policy-template-group=L2TP_IPSec secret=heslo send-initial-contact=no

/ip ipsec policy

set 0 disabled=yes

add dst-address=0.0.0.0/0 group=L2TP_IPSec proposal=prop_L2TP_IPSec protocol=\

ipsec-esp src-address=0.0.0.0/0 template=yes

/ip proxy

set cache-path=web-proxy1

/ip route

add distance=1 gateway=192.168.88.100

add distance=1 dst-address=10.0.0.0/16 gateway=192.168.88.1 scope=255

add distance=1 dst-address=10.0.1.0/24 gateway=10.0.1.254 scope=255

add distance=1 dst-address=10.0.2.0/24 gateway=10.0.2.254 scope=255

add distance=1 dst-address=10.0.4.254/32 gateway=*86 pref-src=192.168.88.1 \

scope=10

/ip service

set telnet disabled=yes

set ssh port=1022

set www-ssl disabled=no

/ppp secret

add local-address=192.168.88.1 name=user1 password=heslo profile=\

default-encryption remote-address=10.0.1.254 service=l2tp

add local-address=192.168.88.1 name=user2 password=heslo profile=\

default-encryption remote-address=10.0.2.254 service=l2tp

add local-address=192.168.88.1 name=user3 password=heslo remote-address=\

10.0.3.254 service=l2tp

add name=notebook password=heslo profile=L2TP_IPSec service=l2tp

add comment=L2TP-IPSec name=user4 password=heslo profile=L2TP_IPSec \

service=l2tp

/system clock

set time-zone-autodetect=no time-zone-name=Europe/Prague

/system leds

set 0 interface=wlan1

/system routerboard settings

set init-delay=0s

/tool graphing interface

add interface=ether1-gateway

/tool mac-server

set [ find default=yes ] disabled=yes

add interface=ether2-master-local

add interface=ether3-slave-local

add interface=ether4-slave-local

add interface=ether5-slave-local

add interface=wlan1

add interface=bridge-local

/tool mac-server mac-winbox

set [ find default=yes ] disabled=yes

add interface=ether2-master-local

add interface=ether3-slave-local

add interface=ether4-slave-local

add interface=ether5-slave-local

add interface=wlan1

add interface=bridge-local

majklik

Máš to už mtečné u toho, že jsi udělal bridge-local a do něj dal ether1, wlan1 a ether2 a na tom bridge nemáš IP adresu, ale máš ji na ether1 a ether2.

Dále tím, že máš ten Mikrotik v DMZ zóně, kdy veřejná IP adresa končí na tom ADSL modemu, tak máš NAT na straně L2TP/IPsec serveru a tam je problém, co jsme popisoval o dva příspěvk výše.

Zvážil bych, že dám ADSL modem do bridge režimu a spojneí se tak ukončí jako PPPoE klient přímo na tom mikrotiku a pak bude lépe. Jinak budeš muset nakonfigurovat tu šaškárnu, co jsme popisoval výše....

koldavideo

Super,

díky moc.

V první řadě tedy přenastavím modem (Zyxel vmg1312-b30b) do režimu bridge.

Po té vyzkouším nastavení mikrotiku podle doporučení zde: http://wiki.mikrotik.com/wiki/How_to_Co ... _xDSL_Line

Snad se mi to podaří.

Každopádně to vzdáleně udělat určitě nepůjde, takže tam budu muset zajet.

Hned pak sdělím mé pokroky.

Zatím moc děkuji.

zdeneksvarc

Existuje nejake funkcni reseni pro vice klientu pripojenych za jednim natem? Kdy je problem s IPsecem... Viz http://forum.mikrotik.com/viewtopic.php?t=82980

Řešení bude v následující verzi 6.38, viz http://www.mikrotik.com/download/changelogs

mac0112

Tak, zde je moje konfigurace. Připojuji se z platforem Mikrotik, Windows 7/10, Android a Windows Phone. Prosím, pokud tam někdo najde něco, co vylepšit, budu jen rád, protože vždy je co vylepšit.... Snad jsem na nic nezapomněl.

IP adresy 192.168.xx.xx si samozřejmě nahraďte svýma platnýma IP.

/interface l2tp-server server

set authentication=mschap2 default-profile=l2tp/ipsec enabled=yes max-mru=1460 max-mtu=1460

/ppp profile

add address-list=VPN change-tcp-mss=yes incoming-filter=rw-in local-address=192.168.xx.xx name=l2tp/ipsec remote-address=pool-vpn use-encryption=required use-upnp=no

/ppp secret

add name=JmenoUzivatele password="TajneHeslo123" profile=l2tp/ipsec service=l2tp

/ip pool

add name=pool-vpn ranges=192.168.xx.xx-192.168.xx.xx

/ip dhcp-server network

add address=192.168.xx.xx/24 comment=VPN gateway=192.168.xx.xx netmask=24

/ip ipsec peer

add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp generate-policy=port-override local-address=0.0.0.0 passive=yes policy-template-group=gr-l2tp/ipsec secret=PreSharedKeyPWD send-initial-contact=no

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des pfs-group=modp4096

add enc-algorithms=aes-256-cbc name=prop-l2tp/ipsec pfs-group=modp4096

/ip firewall filter

add action=accept chain=input comment="Nepust dovnitr L2TP bez IPsec obalky" dst-port=1701 ipsec-policy=in,ipsec log-prefix="" protocol=udp

add action=drop chain=input dst-port=1701 log-prefix="" protocol=udp

add action=accept chain=output comment="Nepust ven L2TP odpoved serveru bez IPsec obalky" ipsec-policy=out,ipsec log-prefix="" protocol=udp src-port=1701

add action=reject chain=output log-prefix="" protocol=udp reject-with=icmp-network-unreachable src-port=1701

add action=accept chain=input comment="wan-in: IPsec, IKEv1, IPsec over UDP" connection-state=new log-prefix="" protocol=ipsec-esp

add action=accept chain=input connection-state=new dst-port=500,4500 log-prefix="" protocol=udp

add action=jump chain=input comment="filtr na data od road-warriors" jump-target=ppp log-prefix=""

add action=jump chain=forward jump-target=ppp log-prefix=""

add action=accept chain=rw-in comment="=== rw-in: co jde od road-warriors pres VPN povolit" connection-state=new log-prefix=""

Tato konfigurace funguje skvěle. Do podnikové sítě VPNkem L2tp se přihlásím i do každého počítače ale sdílené disky Win serveru v práci si nemohu doma na svém notebooku s Win namapovat. Přitom PPTP spojení na mém notebooku namapování funguje.

Můžete mi poradit v čem je problém ?

Verze 6.34.2

joker

Mám mikrotik a do neho se prihlasim pres VPN L2TP (ne ipsec) z iOS (iphone/ipad) ... OK

Mam windows7 a zde nevim, jak mam pripojeni nakonfigurovat, abych se pripojil podobne jako tim iOS klientem

Ze stejne site...

Prosim o nakopnuti, kde se to v tom Windoze nastavuje, diky,

pavelsiman

Riešim rovnaký problém. Všetko funguje. Nastavím aj android aj mac ale Windows ani tuk. Komplet nastavene aj predzdielany kľúč aj všetko. A nic

joker

Nikdo nevi? Nepouzivate win7?

keksik

Nikdo nevi? Nepouzivate win7?

Na mikrotiku na LAN skus zvolit proxy-arp.

Další stránka »