[РЕШЕНО] L2TP с IPSec не поднимается, а без IPSec -нет проблем

Обсуждение ПО и его настройки
Ответить
hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Здравствуйте, уважаемые форумчане!

Имеются: Два микротика: Микротик-1 с белым IP-адресом и второй, Микротик-2 с серым IP_адресом (Билайн).
Схема подключения:
Микротик_1 - Оператор (белый ip)
Микротик_2 - (по WiFi) Смартфон - Сотовый оператор Билайн (на время тестирования)


Задача: Организовать vpn-туннель для установки ip-телефона на удаленном участке.
Посоветовали воспользоваться с L2TP (или же не совсем правильный выбор?)

При поднятии сервера PPTP на Микротике-1 , второй микротик подключается сразу.
! А Вот при L2TP - не хочет по нормальному.
В данный момент картина такая:
Подключается микротик только, после того, как подключусь напрямую со смартфона разочек, а дальше могу подключаться и с самого микротика-2 и с ноутбука, который подключен к этому же микротику. НО, если не подключиться со смартфона хотя бы раз, перед тем как.. то ничего не получается.
При каждой попытке в логах на сервере появляется запись: nov/11 00:18:47 l2tp,info first L2TP UDP packet received from 85.115.248.7

 Конфигурация Микротик-1 (Сервер)

Код: Выделить всё

#> interface l2tp-server server print
            enabled: yes
            max-mtu: 1450
            max-mru: 1450
               mrru: disabled
     authentication: mschap2
  keepalive-timeout: 30
       max-sessions: unlimited
    default-profile: l2tp_profile
          use-ipsec: yes
       ipsec-secret: *****
    allow-fast-path: no

Код: Выделить всё

#> ppp secret print
#   NAME     SERVICE CALLER-ID  PASSWORD    PROFILE
0   user2    l2tp               *****       l2tp_profile

Код: Выделить всё

#> ppp profile print
name="l2tp_profile" local-address=192.168.112.1 remote-address=vpn_pool use-mpls=default use-compression=default
     use-encryption=default only-one=default change-tcp-mss=default use-upnp=default

И в файрвол добавлены правила:

Код: Выделить всё

chain=input action=accept protocol=tcp dst-port=1723
chain=input action=accept protocol=gre
chain=input action=accept protocol=udp port=1701,500,4500
chain=input action=accept protocol=ipsec-esp

 Лог: Микротик-1
-------- Когда подключение не устанавливалось с микрота-2 ------------------
nov/11 00:18:47 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:19:19 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:19:43 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:19 l2tp,info first L2TP UDP packet received from 85.115.248.7
------------- Подключение со Смартфона напрямую ----------------------
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256

nov/11 00:20:35 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:37 l2tp,ppp,info,account user2 logged in, 192.168.112.20
nov/11 00:20:37 l2tp,ppp,info <l2tp-user2>: authenticated
nov/11 00:20:38 l2tp,ppp,info <l2tp-user2>: connected
--------- Удачное подлкючение с микротика-2 -----------------------
nov/11 00:20:51 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:53 l2tp,ppp,info,account user2 logged in, 192.168.112.19
nov/11 00:20:53 l2tp,ppp,info <l2tp-user2-1>: authenticated
nov/11 00:20:53 l2tp,ppp,info <l2tp-user2-1>: connected
----------- Разъединение связи со Смартфоном --------------------------
nov/11 00:21:59 l2tp,ppp,info <l2tp-user2>: terminating... - hungup
nov/11 00:21:59 l2tp,ppp,info,account user2 logged out, 82 2251 2084 39 22
nov/11 00:21:59 l2tp,ppp,info <l2tp-user2>: disconnected
--------- Отключил подключение на микротике-2 -----------------------
nov/11 00:32:28 l2tp,ppp,info <l2tp-user2-1>: terminating...
nov/11 00:32:28 l2tp,ppp,info,account user2 logged out, 695 4204 2488 67 54
nov/11 00:32:28 l2tp,ppp,info <l2tp-user2-1>: disconnected
--------- Подлкючился снова с микротика-2 -------------------------
nov/11 00:32:34 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:32:35 l2tp,ppp,info,account user2 logged in, 192.168.112.19
nov/11 00:32:35 l2tp,ppp,info <l2tp-user2>: authenticated
nov/11 00:32:36 l2tp,ppp,info <l2tp-user2>: connected

Дальше с Микротика-2 можно переподключаться сколько угодно..
Всё удачно и работает все нормально.

 Конфигурация Микротик-2 (Клиент)
Конфиг: Тут все чисто, в Filter Rules нет ни одного правила

Код: Выделить всё

[admin@MikroTik] > interface l2tp-client print
Flags: X - disabled, R - running
 0 X  name="l2tp-out" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.20.30.40 user="user2"
      password="*****" profile=default keepalive-timeout=60 use-ipsec=yes ipsec-secret="345678" allow-fast-path=no
      add-default-route=no dial-on-demand=no allow=mschap2

 Лог: Микротик-2
10.20.30.40 - белый ip сервера (Микротика-1)
192.168.43.167 - ip полученный от телефона по WiFi

------------- Неудачная попытка 1 -------------------------------
nov/11 00:19:41 l2tp,ppp,info l2tp-out: initializing...
nov/11 00:19:41 l2tp,ppp,info l2tp-out: connecting...
nov/11 00:19:41 ipsec,info initiate new phase 1 (Identity Protection): 192.168.43.167[500]<=>10.20.30.40[500]
nov/11 00:19:42 ipsec,info ISAKMP-SA established 192.168.43.167[4500]-10.20.30.40[4500] spi:73fb2862abcc94d2:5da1caf761443e5c
nov/11 00:20:05 l2tp,ppp,info l2tp-out: terminating... - session closed
nov/11 00:20:05 l2tp,ppp,info l2tp-out: disconnected
nov/11 00:20:06 ipsec,info ISAKMP-SA deleted 192.168.43.167[4500]-10.20.30.40[4500] spi:73fb2862abcc94d2:5da1caf761443e5c rekey:1
------------- Неудачная попытка 2 -------------------------------
nov/11 00:20:15 l2tp,ppp,info l2tp-out: initializing...
nov/11 00:20:15 l2tp,ppp,info l2tp-out: connecting...
nov/11 00:20:15 ipsec,info initiate new phase 1 (Identity Protection): 192.168.43.167[500]<=>10.20.30.40[500]
nov/11 00:20:18 ipsec,info ISAKMP-SA established 192.168.43.167[4500]-10.20.30.40[4500] spi:e46a946778f68fd8:c9bfe098e40267d5
nov/11 00:20:39 l2tp,ppp,info l2tp-out: terminating... - session closed
nov/11 00:20:39 l2tp,ppp,info l2tp-out: disconnected
nov/11 00:20:40 ipsec,info ISAKMP-SA deleted 192.168.43.167[4500]-10.20.30.40[4500] spi:e46a946778f68fd8:c9bfe098e40267d5 rekey:1
-----Удачно, после подключения со смартфона --------------
nov/11 00:20:49 l2tp,ppp,info l2tp-out: initializing...
nov/11 00:20:49 l2tp,ppp,info l2tp-out: connecting...
nov/11 00:20:49 ipsec,info initiate new phase 1 (Identity Protection): 192.168.43.167[500]<=>10.20.30.40[500]
nov/11 00:20:50 ipsec,info ISAKMP-SA established 192.168.43.167[4500]-10.20.30.40[4500] spi:40e504297794a74d:6c1acf046113cfa7
nov/11 00:20:53 l2tp,ppp,info l2tp-out: authenticated
nov/11 00:20:53 l2tp,ppp,info l2tp-out: connected
Последний раз редактировалось hitman 18 ноя 2017, 17:38, всего редактировалось 3 раза.


kinDick
Сообщения: 13
Зарегистрирован: 09 ноя 2017, 07:21

ошиблись цифрой ) возможно. Кто ж его знает, что он там у вас )


hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

kinDick писал(а):ошиблись цифрой ) возможно. Кто ж его знает, что он там у вас )

Не представляете, сколько раз перепроверял)


hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Еще интересное в продолжении..
Попробовал подключиться с других устройств:
с Роутера Zyxel с модемным подключением - Подключился!
и со Смартфона- Подключился!
В чем же может быть дело - не могу понять!

Может для L2TP нужно прямое подключение устройства к интернету, хоть и с серым ip адресом..
Последний раз редактировалось hitman 11 ноя 2017, 03:27, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) можем гадать...долго, обычно прилагают схему, чтобы понять логику,
ну и выкладывают конфиги устройств, спрятав личные данные, чтобы
понять что Вы там сделали
2) сразу пришло в голову вот что: Билайн сам использует L2TP - а вдруг
они прикрыли/закрыли данный протокол для инициализации внутри своей
сети для клиентов. Где-то слышал про такое.
3) для IP-телефона делать туннель на L2TP - как-то слишком, в рамках
того, что телефония мало требует, а L2TP уже солидный протокол в целом.
4) попробуйте другие протоколы, тот же SSTP - 5-10мегабит даёт, думаю для
телефонии в целом более чем за глаза
5) если работает на РРТР то попробуйте пока на нём и поработать, да,
протокол не сильно безопасный, но можно дополнительно сделать привязки,
ограничения и ряд других пассивных мер для поднятие безопасности данного подключения.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Vlad-2 писал(а):1) можем гадать...долго, обычно прилагают схему, чтобы понять логику,
ну и выкладывают конфиги устройств, спрятав личные данные, чтобы понять что Вы там сделали

Спасибо, Влад, добавил в шапку всё.
2) сразу пришло в голову вот что: Билайн сам использует L2TP - а вдруг
они прикрыли/закрыли данный протокол для инициализации внутри своей
сети для клиентов. Где-то слышал про такое.

В моем случае подключение со смартфона удается, потом уже и с микротика, расписал все в шапке.
3) для IP-телефона делать туннель на L2TP - как-то слишком, в рамках
того, что телефония мало требует, а L2TP уже солидный протокол в целом.
4) попробуйте другие протоколы, тот же SSTP - 5-10мегабит даёт, думаю для
телефонии в целом более чем за глаза

Честно говоря, не имею опыта с vpn туннелями и не совсем знаю, что лучше использовать в данном случае.
Сейчас у меня задача, подключить только один телефон..
5) если работает на РРТР то попробуйте пока на нём и поработать, да,
протокол не сильно безопасный, но можно дополнительно сделать привязки,
ограничения и ряд других пассивных мер для поднятие безопасности данного подключения.

Вот из-за того, что везде пишут, что этот способ не надежный, не хотел его использовать


kinDick
Сообщения: 13
Зарегистрирован: 09 ноя 2017, 07:21

Подключается микротик только, после того, как подключусь напрямую со смартфона разочек, а дальше могу подключаться и с самого микротика-2 и с ноутбука, который подключен к этому же микротику. НО, если не подключиться со смартфона хотя бы раз, перед тем как.. то ничего не получается.

для того чтоб ipsec поднимался, вроде нужно чтоб пакеты пошли (хотя могу ошибаться, я новичок). Возможно он не поднимается микротиком. А смартфон как раз это делает. Поэтому после него получается.
Отключите ipsec и если без него заработает, будете знать что дело в нём )


hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

kinDick писал(а):для того чтоб ipsec поднимался, вроде нужно чтоб пакеты пошли (хотя могу ошибаться, я новичок). Возможно он не поднимается микротиком. А смартфон как раз это делает. Поэтому после него получается.
Отключите ipsec и если без него заработает, будете знать что дело в нём )

В первую очередь, спасибо, что решили помочь советом!
И вы оказались правы! Да, действительно, если отключить ipsec, подключается без проблем.
Но почему не с ipsec? странно..


hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

[РЕШЕНО] Ребята, проблема решена!
Поделюсь, вдруг кому еще поможет..
Проблема таилась в настройках IPSec , а я то думал их вообще и трогать не нужно, ошибался)
Нашел замечательную инструкцию https://bozza.ru/art-248.html
Мне нужна была именно та часть настройки, которая описывается в разделе
Настройка шифрования данных в "туннеле" (IPSec)
Настроил все как тут описано и всё, оказалось как всегда, ничего сложного:)
Спасибо ребятам, кто написал эту инструкцию!


Ответить