Не поднимается VPN канал L2TP + IPSEC (без IPSEC работает)

[amiton]

Добрый день, коллеги
Столкнулся сегодня со странной штукой о которой раньше только слышал
Подключал подразделение к центральному офису.
В подразделениях стоят микротики (hap ac2) и в центральном офисе стоит микротик (rb3011). на всех предпоследние long-term прошивки.
В центральном офисе подняты L2TP VPN серверы и SSTP VPN серверы.
Подключено 24/7 некоторое количество подразделений и по L2TP+IPSEC и по SSTP.
SSTP не нравится своей тормознутостью (макс 10мбит), нравится тем, что всегда и везде работает, поэтому всегда начинают подключать канал по L2TP + IPSEC, а если не получается, то уже SSTP.
в подразделениях обычно 2 канала с резервированием (4g модем Мегафон) и проводная связь.
на модеме и канале L2TP+IPSEC, всё работает отлично, как и во всех подразделениях. настройки все аналогичные и одинаковые везде.
проблемы начались при подключение нового провайдера по оптике (ДОМ.РУ в Ростове-на-Дону) с которым раньше не работал.
никаких настроек не менял, просто переключил канал и подключение не поднялось.
в логах на обоих сторонах вот такие ошибки (скриншот1)
Если отключить в настройках PPP клиента IPSEC (снять галочку с Use IPSEC) и на центральном микротике разрешить подключение без IPSEC - то всё работает.
то есть проблема именно в IPSEC
попробовал ради интереса по SSTP - работает
в файрволе правила для IPSEC прописаны (порты 1701, 500, 4500 открыты)
попробовал поиграться с MTU на VPN интерфейсе - ставил и 1300 и 1200 (1300 у меня на центральном прописано, ибо уже с какого-то провайдера в подразделении L2TP работал с проблемами) - результата нет
провайдеру позвонил - рассказал эту грустную историю, сказали, что будут разбираться - но, боюсь, что результата не будет
такое ощущение, что как будто провайдер блокирует IPSEC трафик, но не признаётся в этом
может быть что-то ещё можно подкрутить?



export параметров

 

export hide-sensitive
# jun/18/2021 19:49:48 by RouterOS 6.47.10
# software id = EB8N-IFW7
#
# model = RBD52G-5HacD2HnD
# serial number = C6140DEC2822
/interface bridge
add comment="\C3\EE\F1\F2\E5\E2\E0\FF \F1\E5\F2\FC" name=bridge-guest-wifi
add admin-mac=64:D1:54:A4:68:A1 auto-mac=no comment=\
"\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\F2\FC" name=bridge-local
/interface ethernet
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether1 ] name=inet1 speed=100Mbps
/interface l2tp-client
add allow=mschap2 comment=\
"*************" \
connect-to=************ disabled=no max-mru=1480 max-mtu=1480 name=\
************* user=**********
/interface lte
set [ find ] name=lte1
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=inet-list
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-key-update=1h \
management-protection=allowed mode=dynamic-keys name=profile-wifi-staff \
supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" group-key-update=1h \
management-protection=allowed mode=dynamic-keys name=profile-wifi-guest \
supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\
20/40mhz-XX country="united states" disabled=no distance=indoors frequency=\
auto frequency-mode=manual-txpower mode=ap-bridge name=wlan2g-staff \
security-profile=profile-wifi-staff ssid=WF_SS_2G_Staff wireless-protocol=\
802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
country="united states" disabled=no frequency=auto mode=ap-bridge name=\
wlan5g-staff security-profile=profile-wifi-staff ssid=WF_SS_5G_Staff \
wps-mode=disabled
add arp=reply-only default-forwarding=no disabled=no keepalive-frames=disabled \
mac-address=4A:8F:5A:6C:B3:37 master-interface=wlan2g-staff \
multicast-buffering=disabled name=wlan2g-guest security-profile=\
profile-wifi-guest ssid=WF_SS_2G_Guest wds-cost-range=0 wds-default-cost=0 \
wps-mode=disabled
add arp=reply-only default-forwarding=no disabled=no keepalive-frames=disabled \
mac-address=4A:8F:5A:6C:B3:38 master-interface=wlan5g-staff \
multicast-buffering=disabled name=wlan5g-guest security-profile=\
profile-wifi-guest ssid=WF_SS_5G_Guest wds-cost-range=0 wds-default-cost=0 \
wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,3des
/ip pool
add name=dhcp-local-pool ranges=192.168.14.100-192.168.14.150
add name=dhcp-guest-pool ranges=10.207.14.100-10.207.14.200
/ip dhcp-server
add address-pool=dhcp-guest-pool disabled=no interface=bridge-guest-wifi \
lease-time=1h name=dhcp-wifi-guest
add address-pool=dhcp-local-pool disabled=no interface=bridge-local lease-time=\
1h name=dhcp-local
/interface sstp-client
add authentication=mschap2 certificate=*********.crt_0 comment=\
"*******************" \
connect-to=************ name=************ profile=\
default-encryption user=********** verify-server-address-from-certificate=\
no
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan2g-staff
add bridge=bridge-local interface=wlan5g-staff
add bridge=bridge-guest-wifi interface=wlan2g-guest
add bridge=bridge-guest-wifi interface=wlan5g-guest
/interface list member
add interface=inet1 list=inet-list
add interface=lte1 list=inet-list
/ip address
add address=10.207.14.1/24 comment="**************" \
interface=bridge-guest-wifi network=10.207.14.0
add address=192.168.14.1/24 comment="***************" \
interface=bridge-local network=192.168.14.0
add address=**********/24 comment="**************" interface=inet1 \
network=************
/ip dhcp-server network
add address=10.207.14.0/24 dns-server=10.207.14.1 gateway=10.207.14.1
add address=192.168.14.0/24 dns-server=192.168.14.1 gateway=192.168.14.1
/ip dns
set allow-remote-requests=yes servers=109.195.224.1,5.3.3.3
/ip dns static
add address=192.168.3.5 name=*********
add address=192.168.3.7 name=*******
/ip firewall filter
add action=fasttrack-connection chain=forward comment=Fasttrack \
connection-state=established,related disabled=yes
add action=accept chain=forward disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward disabled=yes ipsec-policy=out,ipsec
add action=accept chain=input comment="Access WINBOX" dst-port=****** protocol=\
tcp
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \F2\F0\
\E0\F4\E8\EA\E0 \EE\F2 \C3\EE\F1\F2\E5\E2\EE\E9 wifi \F1\E5\F2\E8 \E2 \E8\ED\
\F2\E5\F0\ED\E5\F2 (forward)" in-interface=bridge-guest-wifi \
out-interface-list=inet-list
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 DNS \F2\F0\
\E0\F4\E8\EA\E0 \EE\F2 \C3\EE\F1\F2\E5\E2\EE\E9 wifi \F1\E5\F2\E8 \EA \F0\EE\
\F3\F2\E5\F0\F3 (input)" dst-port=53 in-interface=bridge-guest-wifi \
protocol=udp
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="Access WINBOX" dst-port=***** protocol=\
tcp
add action=accept chain=input comment="Accept IPSEC" disabled=yes protocol=\
ipsec-esp src-address-list=""
add action=accept chain=input comment="Accept SSTP" dst-port=443 protocol=tcp
add action=accept chain=input comment="Accept L2TP, IPSEC" dst-port=\
1701,500,4500 protocol=udp
add action=accept chain=input comment="Accept established,related - Input" \
connection-state=established,related
add action=accept chain=forward comment="Accept established,related - Forward" \
connection-state=established,related
add action=drop chain=input comment="Drop invalid - Input" connection-state=\
invalid
add action=drop chain=forward comment=\
"Drop all from WAN not DSTNATed - Forward" connection-nat-state=!dstnat \
connection-state=new in-interface-list=inet-list
add action=drop chain=forward comment="\C7\E0\EF\F0\E5\F2 \F2\F0\E0\F4\E8\EA\E0 \
\E8\E7 \E3\EE\F1\F2\E5\E2\EE\E9 WIFI \F1\E5\F2\E8 \E2 \EB\EE\EA\E0\EB\FC\ED\
\F3\FE" dst-address=192.168.0.0/16 src-address=10.207.14.0/24
add action=drop chain=forward comment="Drop invalid - Forward" \
connection-state=invalid
add action=drop chain=input comment="Drop all from WAN" in-interface=\
!bridge-local
/ip firewall nat
add action=masquerade chain=srcnat comment=\
"\C8\ED\F2\E5\F0\ED\E5\F2 NAT \ED\E0 inet1" out-interface-list=inet-list
/ip ipsec policy
set 0 group=group1
/ip route
add distance=1 gateway=176.213.140.254
add distance=1 dst-address=10.189.3.0/24 gateway=10.189.3.100
add comment="\CC\E0\F0\F8\F0\F3\F2 \D1\F2\F0\E0\ED\FB\D1\EE\E2\E5\F2\EE\E2 - \CE\
\F4\E8\F1 \CC\E5\F2\EA\EE\EC" distance=1 dst-address=192.168.3.0/24 \
gateway=10.189.3.100 pref-src=192.168.14.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=******
set api-ssl disabled=yes
/system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT+3
/system identity
set name="*********"

[xvo]

Это же конфиг клиента?
А сервер?
Если там вдруг вот это правило тоже disabled, а на клиенте "белый" адрес, то поэтому и не работает.

add action=accept chain=input comment="Accept IPSEC" disabled=yes protocol=\
ipsec-esp src-address-list=""

[amiton]

спасибо за ответ
это конфиг клиента
сервер выложу попозже, там долго чистить экспорт, очень много всего
на клиенте и правда белый адрес
насчёт этого правила
я его всегда включал везде, ибо так написано во всех классических руководствах по настройке
но я смотрю, что за пару лет по нему везде 0 трафик пакетов
я решил, что оно не нужно и выключил его. остальные подразделения работают, но правда на них нет статики (это связано?)
сейчас включил его везде - результат тот же - не работает
если вы мне объясните зачем оно вообще нужно - буду благодарен

[xvo]

Между белыми адресами туннельный трафик бегает по 50-ому протоколу, если где-то NAT - по udp/4500.

[amiton]

вы были правы, спасибо большое. дело действительно было в правиле IPSEC 50 esp. а не работало потому, что внутри правила стояла опция в разделе IPSEC policy (IN, IPSEC). я её как-то не заметил. убрал - забегал трафик.
ещё раз спасибо

[xvo]

Рад помочь, обращайтесь :)

[vladimir.rekunov]

Аналогичная проблема как у топик-стартера.
Настроил l2tp + ipsec сервер после примерно месяца работы перестали подключаться клиенты.
Отключил ipsec - стали успешно подключатся.

На днях купили платный VPN доступ к rusVPN, также не подключается к серверам как клиент l2tp + ipsec. Bep ipsec подключается и успешно работает.

Конфигурация роутера

Код: Выделить всё

# mar/11/2022 15:47:09 by RouterOS 6.49.2
# software id = V2ZU-H3JD
#
# model = RB750Gr3
# serial number = CC210DDF3D43
/interface bridge
add admin-mac=08:55:31:C7:27:3B auto-mac=no comment=defconf name=bridge-local
/interface ethernet
set [ find default-name=ether2 ] name=Beeline
set [ find default-name=ether1 ] name=Dom.ru
/interface pppoe-client
add disabled=no interface=Dom.ru name=pppoe-dom.ru password=******* user=\
    ********
/interface l2tp-client
add connect-to=37.120.218.46 ipsec-secret=*** keepalive-timeout=disabled \
    name=l2tp-outVPNTest password=******* use-ipsec=yes user=***********
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-128-cbc lifetime=31m
/ip pool
add name=dhcp ranges=192.168.1.50-192.168.1.254
add name=l2tp_pool ranges=192.168.30.100-192.168.30.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=1d name=\
    defconf
/ppp profile
add dns-server=192.168.30.1,8.8.8.8 local-address=192.168.30.1 name=L2TP \
    remote-address=l2tp_pool
/interface l2tp-client
add connect-to=185.66.71.69 disabled=no ipsec-secret=*** keepalive-timeout=\
    disabled name=l2tp-outVPN password=********* profile=default user=\
    ********
/interface bridge port
add bridge=bridge-local comment=defconf interface=ether3
add bridge=bridge-local comment=defconf interface=ether4
add bridge=bridge-local comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=chap,mschap1,mschap2 default-profile=L2TP enabled=yes \
    ipsec-secret=*********
/interface list member
add comment=defconf interface=bridge-local list=LAN
add interface=pppoe-dom.ru list=WAN
add interface=Beeline list=WAN
add interface=Dom.ru list=WAN
add interface=l2tp-outVPN list=WAN
/interface ovpn-server server
set auth=sha1 cipher=aes128 require-client-certificate=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge-local network=\
    192.168.1.0
add address=******/30 interface=Beeline network=*******
add address=****** interface=pppoe-dom.ru network=*******
/ip arp
add address=192.168.1.191 interface=bridge-local mac-address=\
    DC:A6:32:74:08:75
/ip dhcp-client
add comment=defconf disabled=no interface=Dom.ru use-peer-dns=no
/ip dhcp-server lease
add address=192.168.1.13 client-id=1:8:60:6e:81:32:18 comment=1CPC \
    mac-address=08:60:6E:81:32:18 server=defconf
add address=192.168.1.71 comment=DemyanSeleznev mac-address=1C:87:2C:5A:F0:87 \
    server=defconf
add address=192.168.1.59 client-id=1:74:d4:35:a:31:a6 comment=AlenaYandulina \
    mac-address=74:D4:35:0A:31:A6 server=defconf
add address=192.168.1.198 client-id=1:2c:c8:1b:72:5b:50 comment=\
    Marketing-WiFi mac-address=2C:C8:1B:72:5B:50 server=defconf
add address=192.168.1.10 comment=wifi_OIS mac-address=B0:4E:26:D0:12:A4 \
    server=defconf
add address=192.168.1.253 client-id=1:dc:2c:6e:15:f1:af comment=\
    peregovorka-gorod-wifi mac-address=DC:2C:6E:15:F1:AF server=defconf
add address=192.168.1.221 comment=disabled_IP mac-address=00:00:00:00:00:01 \
    server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 domain=\
    intervolga gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=77.88.8.8
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=facebook.com list=facebook
add address=74.119.76.0/22 list=facebook
add address=69.63.184.0/21 list=facebook
add address=69.63.176.0/21 list=facebook
add address=69.63.176.0/20 list=facebook
add address=69.171.250.0/24 list=facebook
add address=69.171.240.0/20 list=facebook
add address=69.171.224.0/20 list=facebook
add address=69.171.224.0/19 list=facebook
add address=66.220.152.0/21 list=facebook
add address=66.220.144.0/21 list=facebook
add address=66.220.144.0/20 list=facebook
add address=45.64.40.0/22 list=facebook
add address=41.223.111.0/24 list=facebook
add address=41.189.185.0/24 list=facebook
add address=31.13.96.0/19 list=facebook
add address=31.13.95.0/24 list=facebook
add address=31.13.94.0/24 list=facebook
add address=31.13.93.0/24 list=facebook
add address=31.13.92.0/24 list=facebook
add address=31.13.89.0/24 list=facebook
add address=31.13.88.0/24 list=facebook
add address=31.13.87.0/24 list=facebook
add address=31.13.86.0/24 list=facebook
add address=31.13.85.0/24 list=facebook
add address=31.13.84.0/24 list=facebook
add address=31.13.83.0/24 list=facebook
add address=31.13.82.0/24 list=facebook
add address=31.13.81.0/24 list=facebook
add address=31.13.80.0/24 list=facebook
add address=31.13.79.0/24 list=facebook
add address=31.13.78.0/24 list=facebook
add address=31.13.77.0/24 list=facebook
add address=31.13.76.0/24 list=facebook
add address=31.13.75.0/24 list=facebook
add address=31.13.74.0/24 list=facebook
add address=31.13.73.0/24 list=facebook
add address=31.13.72.0/24 list=facebook
add address=31.13.71.0/24 list=facebook
add address=31.13.70.0/24 list=facebook
add address=31.13.69.0/24 list=facebook
add address=31.13.68.0/24 list=facebook
add address=31.13.67.0/24 list=facebook
add address=31.13.66.0/24 list=facebook
add address=31.13.65.0/24 list=facebook
add address=31.13.64.0/24 list=facebook
add address=31.13.64.0/18 list=facebook
add address=31.13.24.0/21 list=facebook
add address=204.15.20.0/22 list=facebook
add address=202.59.209.0/24 list=facebook
add address=199.201.67.0/24 list=facebook
add address=199.201.64.0/22 list=facebook
add address=185.89.219.0/24 list=facebook
add address=185.89.218.0/24 list=facebook
add address=185.89.218.0/23 list=facebook
add address=185.60.218.0/24 list=facebook
add address=185.60.217.0/24 list=facebook
add address=185.60.216.0/24 list=facebook
add address=185.60.216.0/22 list=facebook
add address=173.252.96.0/19 list=facebook
add address=173.252.88.0/21 list=facebook
add address=173.252.64.0/19 list=facebook
add address=157.240.9.0/24 list=facebook
add address=157.240.8.0/24 list=facebook
add address=157.240.7.0/24 list=facebook
add address=157.240.6.0/24 list=facebook
add address=157.240.30.0/24 list=facebook
add address=157.240.3.0/24 list=facebook
add address=157.240.28.0/24 list=facebook
add address=157.240.27.0/24 list=facebook
add address=157.240.26.0/24 list=facebook
add address=157.240.25.0/24 list=facebook
add address=157.240.243.0/24 list=facebook
add address=157.240.242.0/24 list=facebook
add address=157.240.241.0/24 list=facebook
add address=157.240.240.0/24 list=facebook
add address=157.240.24.0/24 list=facebook
add address=157.240.238.0/24 list=facebook
add address=157.240.237.0/24 list=facebook
add address=157.240.236.0/24 list=facebook
add address=157.240.235.0/24 list=facebook
add address=157.240.234.0/24 list=facebook
add address=157.240.233.0/24 list=facebook
add address=157.240.232.0/24 list=facebook
add address=157.240.231.0/24 list=facebook
add address=157.240.23.0/24 list=facebook
add address=157.240.229.0/24 list=facebook
add address=157.240.227.0/24 list=facebook
add address=157.240.226.0/24 list=facebook
add address=157.240.225.0/24 list=facebook
add address=157.240.223.0/24 list=facebook
add address=157.240.222.0/24 list=facebook
add address=157.240.221.0/24 list=facebook
add address=157.240.220.0/24 list=facebook
add address=157.240.22.0/24 list=facebook
add address=157.240.218.0/24 list=facebook
add address=157.240.217.0/24 list=facebook
add address=157.240.216.0/24 list=facebook
add address=157.240.215.0/24 list=facebook
add address=157.240.214.0/24 list=facebook
add address=157.240.213.0/24 list=facebook
add address=157.240.212.0/24 list=facebook
add address=157.240.211.0/24 list=facebook
add address=157.240.210.0/24 list=facebook
add address=157.240.21.0/24 list=facebook
add address=157.240.209.0/24 list=facebook
add address=157.240.208.0/24 list=facebook
add address=157.240.206.0/24 list=facebook
add address=157.240.205.0/24 list=facebook
add address=157.240.204.0/24 list=facebook
add address=157.240.203.0/24 list=facebook
add address=157.240.201.0/24 list=facebook
add address=157.240.200.0/24 list=facebook
add address=157.240.20.0/24 list=facebook
add address=157.240.2.0/24 list=facebook
add address=157.240.199.0/24 list=facebook
add address=157.240.197.0/24 list=facebook
add address=157.240.196.0/24 list=facebook
add address=157.240.195.0/24 list=facebook
add address=157.240.194.0/24 list=facebook
add address=157.240.192.0/24 list=facebook
add address=157.240.192.0/18 list=facebook
add address=157.240.19.0/24 list=facebook
add address=157.240.181.0/24 list=facebook
add address=157.240.180.0/24 list=facebook
add address=157.240.18.0/24 list=facebook
add address=157.240.179.0/24 list=facebook
add address=157.240.178.0/24 list=facebook
add address=157.240.177.0/24 list=facebook
add address=157.240.176.0/24 list=facebook
add address=157.240.175.0/24 list=facebook
add address=157.240.174.0/24 list=facebook
add address=157.240.172.0/24 list=facebook
add address=157.240.17.0/24 list=facebook
add address=157.240.168.0/24 list=facebook
add address=157.240.167.0/24 list=facebook
add address=157.240.166.0/24 list=facebook
add address=157.240.165.0/24 list=facebook
add address=157.240.164.0/24 list=facebook
add address=157.240.162.0/24 list=facebook
add address=157.240.16.0/24 list=facebook
add address=157.240.159.0/24 list=facebook
add address=157.240.158.0/24 list=facebook
add address=157.240.155.0/24 list=facebook
add address=157.240.152.0/24 list=facebook
add address=157.240.151.0/24 list=facebook
add address=157.240.15.0/24 list=facebook
add address=157.240.148.0/24 list=facebook
add address=157.240.147.0/24 list=facebook
add address=157.240.146.0/24 list=facebook
add address=157.240.145.0/24 list=facebook
add address=157.240.144.0/24 list=facebook
add address=157.240.143.0/24 list=facebook
add address=157.240.142.0/24 list=facebook
add address=157.240.141.0/24 list=facebook
add address=157.240.140.0/24 list=facebook
add address=157.240.14.0/24 list=facebook
add address=157.240.139.0/24 list=facebook
add address=157.240.138.0/24 list=facebook
add address=157.240.136.0/24 list=facebook
add address=157.240.135.0/24 list=facebook
add address=157.240.133.0/24 list=facebook
add address=157.240.131.0/24 list=facebook
add address=157.240.130.0/24 list=facebook
add address=157.240.13.0/24 list=facebook
add address=157.240.128.0/24 list=facebook
add address=157.240.12.0/24 list=facebook
add address=157.240.11.0/24 list=facebook
add address=157.240.10.0/24 list=facebook
add address=157.240.0.0/17 list=facebook
add address=146.88.59.0/24 list=facebook
add address=129.134.31.0/24 list=facebook
add address=129.134.30.0/24 list=facebook
add address=129.134.30.0/23 list=facebook
add address=129.134.29.0/24 list=facebook
add address=129.134.28.0/24 list=facebook
add address=129.134.27.0/24 list=facebook
add address=129.134.26.0/24 list=facebook
add address=129.134.25.0/24 list=facebook
add address=129.134.171.0/24 list=facebook
add address=129.134.170.0/24 list=facebook
add address=129.134.167.0/24 list=facebook
add address=129.134.166.0/24 list=facebook
add address=129.134.165.0/24 list=facebook
add address=129.134.164.0/24 list=facebook
add address=129.134.163.0/24 list=facebook
add address=129.134.160.0/24 list=facebook
add address=129.134.159.0/24 list=facebook
add address=129.134.158.0/24 list=facebook
add address=129.134.157.0/24 list=facebook
add address=129.134.156.0/24 list=facebook
add address=129.134.155.0/24 list=facebook
add address=129.134.154.0/24 list=facebook
add address=129.134.150.0/24 list=facebook
add address=129.134.149.0/24 list=facebook
add address=129.134.148.0/24 list=facebook
add address=129.134.147.0/24 list=facebook
add address=129.134.144.0/24 list=facebook
add address=129.134.143.0/24 list=facebook
add address=129.134.140.0/24 list=facebook
add address=129.134.139.0/24 list=facebook
add address=129.134.138.0/24 list=facebook
add address=129.134.137.0/24 list=facebook
add address=129.134.136.0/24 list=facebook
add address=129.134.135.0/24 list=facebook
add address=129.134.134.0/24 list=facebook
add address=129.134.133.0/24 list=facebook
add address=129.134.132.0/24 list=facebook
add address=129.134.131.0/24 list=facebook
add address=129.134.130.0/24 list=facebook
add address=129.134.128.0/24 list=facebook
add address=129.134.0.0/17 list=facebook
add address=102.221.191.0/24 list=facebook
add address=102.221.189.0/24 list=facebook
add address=91.225.248.0/24 list=linkedin
add address=216.52.22.0/24 list=linkedin
add address=216.52.21.0/24 list=linkedin
add address=216.52.20.0/24 list=linkedin
add address=216.52.18.0/24 list=linkedin
add address=216.52.17.0/24 list=linkedin
add address=216.52.16.0/24 list=linkedin
add address=216.200.149.0/24 list=linkedin
add address=202.4.184.0/24 list=linkedin
add address=199.101.161.0/24 list=linkedin
add address=144.2.9.0/24 list=linkedin
add address=144.2.237.0/24 list=linkedin
add address=144.2.233.0/24 list=linkedin
add address=144.2.230.0/24 list=linkedin
add address=144.2.229.0/24 list=linkedin
add address=144.2.226.0/24 list=linkedin
add address=144.2.225.0/24 list=linkedin
add address=144.2.223.0/24 list=linkedin
add address=144.2.22.0/24 list=linkedin
add address=144.2.16.0/24 list=linkedin
add address=144.2.15.0/24 list=linkedin
add address=144.2.14.0/24 list=linkedin
add address=144.2.12.0/24 list=linkedin
add address=108.174.8.0/24 list=linkedin
add address=108.174.7.0/24 list=linkedin
add address=108.174.6.0/24 list=linkedin
add address=108.174.5.0/24 list=linkedin
add address=108.174.4.0/24 list=linkedin
add address=108.174.3.0/24 list=linkedin
add address=108.174.2.0/24 list=linkedin
add address=108.174.13.0/24 list=linkedin
add address=108.174.11.0/24 list=linkedin
add address=108.174.10.0/24 list=linkedin
add address=108.174.1.0/24 list=linkedin
add address=108.174.0.0/24 list=linkedin
add address=8.25.196.0/23 list=twitter
add address=8.25.194.0/23 list=twitter
add address=69.195.191.0/24 list=twitter
add address=69.195.190.0/24 list=twitter
add address=69.195.189.0/24 list=twitter
add address=69.195.188.0/24 list=twitter
add address=69.195.187.0/24 list=twitter
add address=69.195.186.0/24 list=twitter
add address=69.195.185.0/24 list=twitter
add address=69.195.184.0/24 list=twitter
add address=69.195.182.0/24 list=twitter
add address=69.195.181.0/24 list=twitter
add address=69.195.180.0/24 list=twitter
add address=69.195.179.0/24 list=twitter
add address=69.195.178.0/24 list=twitter
add address=69.195.177.0/24 list=twitter
add address=69.195.176.0/24 list=twitter
add address=69.195.175.0/24 list=twitter
add address=69.195.174.0/24 list=twitter
add address=69.195.172.0/24 list=twitter
add address=69.195.171.0/24 list=twitter
add address=69.195.169.0/24 list=twitter
add address=69.195.168.0/24 list=twitter
add address=69.195.166.0/24 list=twitter
add address=69.195.165.0/24 list=twitter
add address=69.195.164.0/24 list=twitter
add address=69.195.163.0/24 list=twitter
add address=69.195.162.0/24 list=twitter
add address=69.195.160.0/24 list=twitter
add address=69.12.63.0/24 list=twitter
add address=69.12.62.0/24 list=twitter
add address=69.12.61.0/24 list=twitter
add address=69.12.60.0/24 list=twitter
add address=69.12.59.0/24 list=twitter
add address=69.12.58.0/24 list=twitter
add address=69.12.57.0/24 list=twitter
add address=69.12.56.0/24 list=twitter
add address=69.12.56.0/21 list=twitter
add address=64.63.33.0/24 list=twitter
add address=64.63.32.0/24 list=twitter
add address=64.63.0.0/18 list=twitter
add address=209.237.223.0/24 list=twitter
add address=209.237.221.0/24 list=twitter
add address=209.237.220.0/24 list=twitter
add address=209.237.219.0/24 list=twitter
add address=209.237.218.0/24 list=twitter
add address=209.237.217.0/24 list=twitter
add address=209.237.216.0/24 list=twitter
add address=209.237.215.0/24 list=twitter
add address=209.237.214.0/24 list=twitter
add address=209.237.213.0/24 list=twitter
add address=209.237.212.0/24 list=twitter
add address=209.237.211.0/24 list=twitter
add address=209.237.210.0/24 list=twitter
add address=209.237.209.0/24 list=twitter
add address=209.237.208.0/24 list=twitter
add address=209.237.205.0/24 list=twitter
add address=209.237.203.0/24 list=twitter
add address=209.237.201.0/24 list=twitter
add address=209.237.200.0/24 list=twitter
add address=209.237.199.0/24 list=twitter
add address=209.237.198.0/24 list=twitter
add address=209.237.197.0/24 list=twitter
add address=209.237.196.0/24 list=twitter
add address=209.237.195.0/24 list=twitter
add address=209.237.194.0/24 list=twitter
add address=209.237.193.0/24 list=twitter
add address=209.237.192.0/24 list=twitter
add address=202.160.131.0/24 list=twitter
add address=202.160.130.0/24 list=twitter
add address=202.160.129.0/24 list=twitter
add address=202.160.128.0/24 list=twitter
add address=199.96.62.0/23 list=twitter
add address=199.96.61.0/24 list=twitter
add address=199.96.60.0/24 list=twitter
add address=199.96.60.0/23 list=twitter
add address=199.96.58.0/23 list=twitter
add address=199.96.57.0/24 list=twitter
add address=199.96.56.0/24 list=twitter
add address=199.96.56.0/23 list=twitter
add address=199.59.148.0/22 list=twitter
add address=199.16.156.0/23 list=twitter
add address=199.16.156.0/22 list=twitter
add address=192.48.237.0/24 list=twitter
add address=192.48.236.0/24 list=twitter
add address=192.48.236.0/23 list=twitter
add address=192.133.78.0/23 list=twitter
add address=192.133.76.0/23 list=twitter
add address=192.133.76.0/22 list=twitter
add address=188.64.224.0/21 list=twitter
add address=185.45.6.0/23 list=twitter
add address=185.45.5.0/24 list=twitter
add address=185.45.4.0/24 list=twitter
add address=185.45.4.0/23 list=twitter
add address=104.244.47.0/24 list=twitter
add address=104.244.46.0/24 list=twitter
add address=104.244.45.0/24 list=twitter
add address=104.244.44.0/24 list=twitter
add address=104.244.43.0/24 list=twitter
add address=104.244.42.0/24 list=twitter
add address=104.244.41.0/24 list=twitter
add address=104.244.40.0/24 list=twitter
add address=twitter.com list=twitter
add address=linkedin.com list=linkedin
add address=abs.twimg.com list=twitter
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=ip-sec protocol=ipsec-esp
add action=accept chain=input comment=L2TP_Input_Ports dst-port=500,1701,4500 \
    protocol=udp
add action=accept chain=forward comment="allow vpn to lan" in-interface=\
    !Dom.ru out-interface=bridge-local src-address=\
    192.168.30.100-192.168.30.200
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    dst-port=500,1701,4500 ipsec-policy=out,ipsec protocol=udp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=output dst-address=195.208.6.1 out-interface=Beeline \
    protocol=icmp
add action=drop chain=input dst-port=53 in-interface=pppoe-dom.ru protocol=\
    udp
add action=drop chain=input dst-port=53 in-interface=Beeline protocol=udp
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=facebook \
    new-routing-mark=facebook_traffic passthrough=yes src-address=\
    192.168.1.0/24
add action=mark-routing chain=prerouting dst-address-list=linkedin \
    new-routing-mark=linkedin_traffic passthrough=yes src-address=\
    192.168.1.0/24
add action=mark-routing chain=prerouting dst-address-list=twitter \
    new-routing-mark=twitter_traffic passthrough=yes src-address=\
    192.168.1.0/24
/ip firewall nat
add action=netmap chain=dstnat comment="Example port forwarding" disabled=yes \
    dst-port=3411 in-interface=pppoe-dom.ru protocol=tcp to-addresses=\
    192.168.1.71 to-ports=3411
add action=netmap chain=dstnat comment=FTP_Backup dst-port=21 in-interface=\
    pppoe-dom.ru protocol=tcp to-addresses=192.168.1.59 to-ports=21
add action=netmap chain=dstnat comment=1C_app dst-port=5000 in-interface=\
    pppoe-dom.ru protocol=tcp to-addresses=192.168.1.13 to-ports=80
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=rus-vpn out-interface=l2tp-outVPN
/ip route
add distance=1 gateway=l2tp-outVPN routing-mark=facebook_traffic
add distance=1 gateway=l2tp-outVPN routing-mark=linkedin_traffic
add distance=1 gateway=l2tp-outVPN routing-mark=twitter_traffic
add comment=ISP1 distance=2 gateway=pppoe-dom.ru
add comment=ISP2 disabled=yes distance=3 gateway=Beeline
add distance=1 dst-address=77.88.8.8/32 gateway=l2tp-outVPN
add distance=1 dst-address=195.208.6.1/32 gateway=pppoe-dom.ru
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe-dom.ru type=external
add interface=Dom.ru type=external
add interface=Beeline type=external
/ppp secret
add comment=\
    "Rekunov Vladimir ***company/personal/user/17623/" \
    name=rek**** password=******* profile=L2TP service=l2tp
add comment=\
    "borisovs*** ***company/personal/user/5326/" \
    name=borisov**** password=****** profile=L2TP service=l2tp
add comment=\
    "Lipov Maksim ***company/personal/user/2284/" name=\
    lipov_me password="******" profile=L2TP service=l2tp
add comment=\
    "Orlov Ilya ***company/personal/user/21831/" name=\
    orlo*** password=****** profile=L2TP service=l2tp
add comment=\
    "Prohorov_Mark ***company/personal/user/19197/" \
    name=Proho**** password=***** profile=L2TP service=l2tp
add comment=\
    "Egor Solovyev ***company/personal/user/22405/" \
    name=Solov**** password=******* profile=L2TP service=l2tp
add comment=\
    "dydyrev kiryl ***company/personal/user/22635/" \
    name=dudy**** password="*****" profile=L2TP service=l2tp
add comment="Bondarenko Antoniy ***company/personal/user\
    /20109/" name=bondare***** password="*******" profile=L2TP service=\
    l2tp
add comment=\
    "Belousov_ilya ***company/personal/user/712/" name=\
    belou**** password="******" profile=L2TP service=l2tp
add comment="Shimonaeva Svetlana ***company/personal/use\
    r/20881/" name=shimon**** password=****** profile=L2TP service=l2tp
/system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT-3
/system identity
set name=intervolga
/system ntp client
set enabled=yes primary-ntp=79.120.30.43 secondary-ntp=89.110.32.178 \
    server-dns-names=0.ru.pool.ntp.org
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add down-script="/ip route set [find comment=\"ISP1\"] disabled=yes\
    \n/ip route set [find comment=\"ISP2\"] disabled=no" host=195.208.6.1 \
    interval=2m timeout=300ms up-script="/ip route set [find comment=\"ISP1\"]\
    \_disabled=no\
    \n/ip route set [find comment=\"ISP2\"] disabled=yes"

Помогите разобраться в чем может быть проблема?

[vladimir.rekunov]

Рад помочь, обращайтесь :)

Может и с моим случаем поможете разобраться?

[vladimir.rekunov]

Проблема была в опции PFC group. После установки ее значения в none, туннель успешно поднялся.
https://disk.yandex.ru/i/hPWfKGG2_s5N4A

Подробнее почему так, написано в статье https://interface31.ru/tech_it/2019/09/ ... rotik.html