Страница 1 из 1

L2TP-сервер на RouterOS не работает шифрование

Добавлено: 12 окт 2015, 06:44
postrel
повторно, привет vqd

Стоит академическая цель протестировать разные маршрутизаторы на пропускную способность LAN<->WAN при разных способах подключения (PPTP и L2TP в частности)
тестовый стенд видится так:
(комп-1) - (тестируемый маршрутизатор) - (сервер с RouterOS) - (комп-2)
(сервер с RouterOS) обеспечивает нужные виды подключения
пропускная способность (комп-1) - (сервер с RouterOS) - (комп-2) в разы выше чем может обеспечить (тестируемый маршрутизатор)
(тестируемый маршрутизатор) - любой, что ставится дома для раздачи интернета (от D-Link DIR-300 до Zyxel Keenetic Ultra и т.д.)

 Текущая настройка RouterOS
ip addres add addres=192.168.2.77/24 interface=ether1
ip addres add addres=10.10.10.2/24 interface=ether2

/ip pool add name=vpn_pool ranges=10.0.0.2-10.0.0.10

/interface l2tp-server server set default-profile=default enabled=yes

/ppp profile
add name=l2tp change-tcp-mss=yes local-address=10.0.0.1 only-one=default \
remote-address=vpn_pool use-compression=default use-encryption=yes

/ppp secret
add name=user password=112233 profile=l2tp

/interface l2tp-server
add name=user user=user

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des \
lifetime=30m name=default pfs-group=modp1024


/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key \
secret="shared_password_key" exchange-mode=main-l2tp send-initial-contact=yes \
nat-traversal=yes proposal-check=obey hash-algorithm=sha1 \
enc-algorithm=3des dh-group=modp1024

настраиваю L2TP подключение на (комп-1)
по схеме (комп-1) - (сервер с RouterOS) - (комп-2)
при этом указываю "test" в свойствах подключения (preshared key) и все работает

проблема в том, что когда настраиваю (тестируемый маршрутизатор) и указываю протокол L2TP, имя и пароль пользователя то подключение поднимается (комп-1 видит комп-2), но без шифрования (в Remoute Peers пусто, в Installed SAs тоже только то, что добавилось при подключении компа напрямую)

собственно вопрос, можно ли добиться подключения с работающим шифрованием? и если да, то куда смотреть?

Re: L2TP-сервер на RouterOS не работает шифрование

Добавлено: 12 окт 2015, 10:51
carassin
разве на (тестируемом маршрутизаторе) ipsec не надо "готовить" ?

Re: L2TP-сервер на RouterOS не работает шифрование

Добавлено: 12 окт 2015, 11:29
postrel
carassin писал(а):разве на (тестируемом маршрутизаторе) ipsec не надо "готовить" ?

ни у одного провайдера, подключающего клиентов по L2TP ничего кроме сервера VPN, имени пользователя и пароля не нужно для подключения, а цель то как раз сымитировать работу провайдера

Re: L2TP-сервер на RouterOS не работает шифрование

Добавлено: 12 окт 2015, 11:48
carassin
ну так вы и сымитировали... ipsec тогда тут причем ?, если вы его не настраивали на (тестируемом маршрутизаторе), то откуда взяться шифрованию ?

Re: L2TP-сервер на RouterOS не работает шифрование

Добавлено: 12 окт 2015, 12:53
gmx
я не знаю, успели ли вы прочитать мой прошлый пост?

Ну почему L2TP, PPPtP??? Самый простой способ - это PPPoE. Мало того, через PPPoE можно клиенту отдать все настройки автоматом.
Сплошные удобства, да и маршрутизаторы домашние его легко переваривают, есть модели с аппаратным NAT, и PPoE аппаратный даже стали появляться. Что-то там и зиксел, и длинк делать пытались.

Re: L2TP-сервер на RouterOS не работает шифрование

Добавлено: 12 окт 2015, 15:21
postrel
gmx писал(а):Ну почему L2TP, PPPtP???

потому, что цель не подключить, цель - проверить, а провайдеры используют все варианты.
в сомнения и мысли о шифровании вогнал бюджетный роутер на RTL8196 выдавший почти 100Мбит/с через L2TP, сейчас жду пару маршрутизаторов которые тестировались ранее и если результаты повторятся то значит мой тестовый стенд работает правильно, нет - буду искать в чем причина

Re: L2TP-сервер на RouterOS не работает шифрование

Добавлено: 12 окт 2015, 20:23
vqd
gmx писал(а):я не знаю, успели ли вы прочитать мой прошлый пост?

Ну почему L2TP, PPPtP??? Самый простой способ - это PPPoE. Мало того, через PPPoE можно клиенту отдать все настройки автоматом.
Сплошные удобства, да и маршрутизаторы домашние его легко переваривают, есть модели с аппаратным NAT, и PPoE аппаратный даже стали появляться. Что-то там и зиксел, и длинк делать пытались.


Человек просто считает что если l2tp значит типа IPsec само собой разумеется. так же он наивно считает что домашние роутеры умеют это автоматом.

Но он не вменяет то что ему говорят.

В общем еще сутки и тема в утиль