[Решено]Mikrotik<->Mikrotik и L2tp over IPsec

Обсуждение ПО и его настройки
Ответить
Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Есть 2 Mkt ROS:6.33.3.
Первый является сервером:

Код: Выделить всё

###
###L2Tp
###
/interface l2tp-server server pr
  enabled: yes
  max-mtu: 1450
  max-mru: 1450
  mrru: disabled
  authentication: mschap1,mschap2
  keepalive-timeout: 30
  default-profile: l2tp-input
  use-ipsec: no
  ipsec-secret:

/ppp secret ex
# jan/26/2016 14:07:37 by RouterOS 6.33.3
# software id = QPHU-XZSF
#
/ppp secret
add local-address=172.17.0.1 name=Mobile password=test321 profile=l2tp-input remote-address=172.17.0.210 service=l2tp

/ppp prof ex
# jan/26/2016 14:07:59 by RouterOS 6.33.3
# software id = QPHU-XZSF
#
/ppp profile
add change-tcp-mss=yes local-address=172.16.0.1 name=l2tp-input use-compression=no use-encryption=yes use-mpls=no use-upnp=no

###
###IPSec
###

/ip ipsec proposal ex     
# jan/26/2016 14:08:58 by RouterOS 6.33.3
# software id = QPHU-XZSF
#
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,sha256 enc-algorithms=3des,aes-128-cbc,aes-192-cbc,aes-256-cbc

/ip ipsec peer ex   
# jan/26/2016 14:09:39 by RouterOS 6.33.3
# software id = QPHU-XZSF
#
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=3des,aes-128,aes-192 exchange-mode=main-l2tp generate-policy=port-strict passive=yes secret=test321

пробую с win, подключение создается и работает, шифрование ipsec заводится.

На клиентском mkt:

Код: Выделить всё

/interface l2tp-client
add allow=mschap1,mschap2 connect-to=X.X.X.X ipsec-secret=test321 mrru=1600 name=tun-test password=test321 use-ipsec=yes user=Mobile

При подключении в peers, policies, installed sas появляются записи, что ipsec установлено, но в installsed sas счетчики по нулям.
В создающихся политиках фигурирует порт 1701(вместо 500 при настройке руками).

Сейчас работает по схеме: настраиваю ipsec(статично peer и politics на каждой стороне), поднимаю l2tp тунель(без use-ipsec), но хочется динамики набы минимизировать ручной труд в будущем.
Последний раз редактировалось Senter 28 янв 2016, 11:10, всего редактировалось 1 раз.


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Разобрался. Во первых я с чего-то удалил правило на accept ipsec-esp и не замечал этого, во вторых настроил пароль ipsec в соответствующей секции L2TP Server. Еще наткнулся на такую заметку, не знаю актуально оно для 6.33, но может наткнувшимся на эту тему пригодится.


Ответить