L2TP + IPSEC

[rtfm]

Господа.
Подскажите в какую строну копать.

Есть 3 микротика. Все с белыми адресами. На всех поднят L2tp с IPSEC. Обзовем их (1,2,3)
Между 1м и 2м поднят GRE c IPSEC. Между 2м и 3м поднят GRE.
До какого то момента все работало как надо.

Несколько дней назад обнаружил что ПК за NATом 1го роутера не могут подключится по L2tp к 2му роутеру и соответственно из-за 2го к 1 му.
Если допустим подключаться из за 1го к 1му или 3му то подключение проходит без проблем. Тоже самое с 2м.
Причем GRE работает как ни в чем не бывало. Из-за 3го не пробовал т.к. нет за ним пк под моим управлением.

История поиска решения.
Изначально было обнаружено что невозможно подключится к 2му из-за 1го.
Ошибка в логах была такой. parsing packet failed possible cause wrong password.
На Win 10 была ошибка 789 соединения. Т.к. у меня конфиг 2го роутера пережил несколько релизов ROS, погрешил на то что какой то из параметров стал out of ranges.
После сброса и повторной настройки ничего не изменилось. Та же ошибка.

Новую ошибку получил после того как установил один и тот же пароль на IPSEC в L2tp и gre.
После того в логах появилась ошибка failed to pre-process ph2 packet.

Попробовал соединится из андроида. Если через мобильные сети то соединение проходит без проблем.
Ежели завести андроид за NAT то получаем ошибку однократно failed to pre-process ph2 packet. и потом постоянно peer sent packet for dead phase2

Отключал все запрещающие правила firewall. Не помогает.
Настройка NAT chain=srcnat action=masquerade out-interface=pppoe-Dom.ru log=no log-prefix="" ipsec-policy=out,none
с непрописанным ipsec тоже самое. Не помогает.
Везде прошивка от 6.46.3 до 6.46.5
Куда рыть?

[Erik_U]

А зачем имея между 1 и 2 GRE+IPSEC делать L2TP ко 2-му с компьютера в сети 1-го? И так же сети объединены?

ошибка 789 на win10 лечится правкой реестра. https://moonback.ru/page/l2tp-error-789
https://winitpro.ru/index.php/2017/10/2 ... ru-za-nat/

Дефолтные маршруты не переназначали с одного микротика на второй через гре?

[rtfm]

А зачем имея между 1 и 2 GRE+IPSEC делать L2TP ко 2-му с компьютера в сети 1-го? И так же сети объединены?

ошибка 789 на win10 лечится правкой реестра. https://moonback.ru/page/l2tp-error-789
https://winitpro.ru/index.php/2017/10/2 ... ru-za-nat/

Дефолтные маршруты не переназначали с одного микротика на второй через гре?

Причина 1. Хочу сделать сеть управления. Но чтобы не пробрасывать вланы через тунель , проще поднять ВПН с входом в нужную сеть.
Причина 2. Подолгу не бываю на месте требуется несколько гарантированных способов связи с роутером т.к. 2й это роутер предприятия, и требуется постоянная поддержка.

Спасибо. Попробую напишу. Только вопрос почему андроид тоже сбоит.

Маршруты не переназначал. Gre как раз и служат для сети предприятия. Гостевые сети работают только локально за каждым роутером.

[Erik_U]

Причина 1. Хочу сделать сеть управления.

Сеть управления - это второй сетевой интерфейс у каждого управляемого ресурса, и другая физическая сеть на этом интерфейсе, к которой имеют доступ только администраторы, которые также сидят в этой другой сети.

А если в 1 сети у компьютеров и серверов сеть одна, во второй сети у компьютеров и серверов сеть одна, и для управления все равно из первой "одной сети" во вторую "одну сеть" нужно стучаться, то распараллеливать канал за границами локальных сетей смысла никакого, тем более, что оператор все равно один и там и там, и GRE и L2TP с каждой стороны висят на одном и том же белом IP.

Причина 2. Подолгу не бываю на месте требуется несколько гарантированных способов связи с роутером т.к. 2й это роутер предприятия, и требуется постоянная поддержка.

Сбой у интернет-провайдера 2 офиса, или у микротика 2 офиса - и оба способа не работают.

[rtfm]

Не помогло. Все те же ошибки в логах микротика, и все та же 789 в логах вин 10.

[rtfm]

Сеть управления - это второй сетевой интерфейс

В идеале отдельный физ интерфейс с невозможностью коммутации. Согласен. Но тут такого не предвидится, поэтому виртуальная сеть без отображения на физ интерфейсах. К которой доступ только через впн даже из локалки.

Сбой у интернет-провайдера 2 офиса, или у микротика 2 офиса - и оба способа не работают.

От этого никто не застрахован.

[rtfm]

Похоже дело в ROS. Отвязал gre от ipsec и все заработало.