Захотел поднять VPN со смартфона на mikrotik 6.48.2 hap ac2.
Выбор пал на l2tp+ ipsec psk т.к. ipsec уже щупал.
При попытке подключения с телефона долго думает, потом пишет сбой.
Самое интересное, что при этом packet sniffer на микротике c ip телефона НИЧЕГО не видит.
пинги и telnet видит. Т.к. IP указан верно.
Я подумал что режет провайдер со стороны смартфона, попробовал подключиться на рандомный общедоступный vpn l2tp ipsec psk сервер. Подключилось без проблем.
У микротика тоже есть соединение ipsec в туннельном режиме и ipsec+gre. Т.е. со стороны микротика тоже вроде не режут.
Куда копать? Почему packet sniffer ничего не видит?
l2tp ipsec psk не работает. packet sniffer ничего не видит.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
1) Может провайдер на стороне микротика не режет на выход, но режет на вход.
2) Посмотрите текущий IP, с которого приходят пакеты от телефона, добавьте в firewall микротика в цепочку input правило, разрешающее все с этого IP, и подтяните наверх.
2) Посмотрите текущий IP, с которого приходят пакеты от телефона, добавьте в firewall микротика в цепочку input правило, разрешающее все с этого IP, и подтяните наверх.
Telegram: @thexvo
-
Alexey.Borisov
- Сообщения: 16
- Зарегистрирован: 21 дек 2019, 09:22
1)проверю...
2)пробовал, не помогло.
2)пробовал, не помогло.
-
Alexey.Borisov
- Сообщения: 16
- Зарегистрирован: 21 дек 2019, 09:22
я вообще понадеялся что вы мне скажете каким образом packet sniffer может пакеты не видеть.
сегодня домой приду, попробую из локалки прицепиться. Если не поможет скину конфиг.
Если не сложно напишите какой командой можно вытащить нужный конфиг, чтобы полный конфиг не цензурить.
сегодня домой приду, попробую из локалки прицепиться. Если не поможет скину конфиг.
Если не сложно напишите какой командой можно вытащить нужный конфиг, чтобы полный конфиг не цензурить.
-
Lurker
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
Действительно что-то режет трафик. Из внутренней сети на ура залетел
-
Lurker
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
Всё чудесатее и чудесатее.
Баловался пакет сниффером. предварительный вывод: почему-то не видит l2tp соединение с фильтром по ip адресу, если соединение идёт приходит со внешнего интерфейса(со внутреннего на внешний ip всё ок)
А вот если поставить фильтр udp 500, то пакеты видно.
Но пока я баловался с пакет сниффером у меня упал winbox и более не подключается. Ругается что не поддерживается защищённое соединение. Веб морда очень медленно но открылась. пароль ввёл жду загрузку... пока выглядит как бесконечная, но может прогрузится?
Веб морда ругнулась на логин пароль. Winbox в легаси моде пишел loggin in...
Баловался пакет сниффером. предварительный вывод: почему-то не видит l2tp соединение с фильтром по ip адресу, если соединение идёт приходит со внешнего интерфейса(со внутреннего на внешний ip всё ок)
А вот если поставить фильтр udp 500, то пакеты видно.
Но пока я баловался с пакет сниффером у меня упал winbox и более не подключается. Ругается что не поддерживается защищённое соединение. Веб морда очень медленно но открылась. пароль ввёл жду загрузку... пока выглядит как бесконечная, но может прогрузится?
Веб морда ругнулась на логин пароль. Winbox в легаси моде пишел loggin in...
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
В логах пусто?
Firewall цепочку input экспорт покажите.
Ему ассиметричная маршрутизация не нравится - небось через туннель изнутри и пробуете?Lurker писал(а): ↑26 май 2021, 18:55 Но пока я баловался с пакет сниффером у меня упал winbox и более не подключается. Ругается что не поддерживается защищённое соединение. Веб морда очень медленно но открылась. пароль ввёл жду загрузку... пока выглядит как бесконечная, но может прогрузится?
Веб морда ругнулась на логин пароль. Winbox в легаси моде пишел loggin in...
Telegram: @thexvo
-
Lurker
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
1)глюк с пакет снифером с фильтром по IP ушёл после ребута. а может его и небыло и я протупил.
2)микрот повесился так, что без ребута я на него зайти не мог. Пытался зайти с машины без туннеля из lan.
3)пытаюсь подключиться на внешний ip результаты.
из lan-всё ок.
из wan ничего нет. пакет снифер пакетов не видит.
из wan сканером портов udp 500 сканер говорит порт открыт, пакет сниффер видит пакеты.
я так понимаю настройка фаервола вас более не интересует? поленился делать норм экспорт вот скрин с правилами
https://yadi.sk/i/81__pQ1wz4Au4Q
естественно тут не вся инпут цепочка, но выше одни асепты.
У меня 2 варианта:
1)я правильно понимаю что первым летит upd 500? если нет то какой? вдруг я его не вижу пакет сниффером.
2)Если да, то похоже мне режут входящий трафик. При чём не по портам, а более глубокой инспекцией.
2)микрот повесился так, что без ребута я на него зайти не мог. Пытался зайти с машины без туннеля из lan.
3)пытаюсь подключиться на внешний ip результаты.
из lan-всё ок.
из wan ничего нет. пакет снифер пакетов не видит.
из wan сканером портов udp 500 сканер говорит порт открыт, пакет сниффер видит пакеты.
я так понимаю настройка фаервола вас более не интересует? поленился делать норм экспорт вот скрин с правилами
https://yadi.sk/i/81__pQ1wz4Au4Q
естественно тут не вся инпут цепочка, но выше одни асепты.
У меня 2 варианта:
1)я правильно понимаю что первым летит upd 500? если нет то какой? вдруг я его не вижу пакет сниффером.
2)Если да, то похоже мне режут входящий трафик. При чём не по портам, а более глубокой инспекцией.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Экспорт сделайте, и всей цепочки. На скрине далеко не все поля видны.
По tcp эти порты не нужны.
По tcp эти порты не нужны.
Telegram: @thexvo