l2tp сервер за NAT

[Agent Smit]

Всем привет.

Есть задача настроить l2tp сервер за который находиться за NAT.
R1 Маршрутизатор (у нас к нему доступа нет)
Наш маршрутизатор R2 v6.40.5 на нем настроен l2tp сервер ip 192.168.1.1

interface l2tp-server server print
enabled: yes
max-mtu: 1450
max-mru: 1450
mrru: disabled
authentication: pap,chap,mschap1,mschap2
keepalive-timeout: 30
max-sessions: unlimited
default-profile: default-encryption
use-ipsec: yes
ipsec-secret: 12345
caller-id-type: ip-address
one-session-per-host: no
allow-fast-path: no

/ip ipsec peer print
Flags: X - disabled, D - dynamic, R - responder
0 DR address=::/0 passive=yes auth-method=pre-shared-key
secret="12345" generate-policy=port-strict
policy-template-group=default exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes proposal-check=obey
hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des
dh-group=modp2048,modp1024 lifetime=1d dpd-interval=2m
dpd-maximum-failures=5

на R1 настроен проброс портов udp 1.1.1.1:50,500,4500,1701->192.168.1.1:50,500,4500,1701

Из интернета подключиться не удается по l2tp
В log следующие записи:
17:34:46 ipsec,info respond new phase 1 (Identity Protection): 192.168.1.1[500]<
=>x.x.x.x[500]
17:34:47 ipsec,info ISAKMP-SA established 192.168.1.1[4500]-x.x.x.x[4500
] spi:c8953b71574c0dd0:687111cfc5381162
17:35:22 ipsec,info purging ISAKMP-SA 192.168.1.1[4500]<=>x.x.x.x[4500]
spi=c8953b71574c0dd0:687111cfc5381162.
17:35:22 ipsec,info ISAKMP-SA deleted 192.168.1.1[4500]-x.x.x.x.x[4500] sp
i:c8953b71574c0dd0:687111cfc5381162 rekey:1

Можете подсказать как настроить l2tp сервер который находиться за NAT?

[Erik_U]

Чтобы настроить l2tp сервер который находиться за NAT, нужно иметь или выделенный белый IP, или динамический, но с открытыми портами (тогда к нему по имени DDNS можно будет подключиться.
Все остальные настройки тоже нужны.

[Agent Smit]

1.1.1.1 это и есть белый ip на R1

[Vlad-2]

Какой прок от сервера за НАТом? Как Вы будете на него цепляться?
Тем более без доступа к R1 и без пробросов.

Задачи можно разные ставить, но логику работу сети
и протоколов их никто не отменял пока что.

[Agent Smit]

R1 wan ip 1.1.1.1 lan ip 192.168.1.0/24 (нет доступа на управления). Коллеги пробросили порт udp 1.1.1.1:50,500,4500,1701->192.168.1.1:50,500,4500,1701
R2 wan ip 192.168.1.0/24 lan ip 192.168.2.0/24
т.е.
Интернет -> R1->R2->компьютеры.
Еще один важный момент с pptp такая схема работает.

[Sertik]

Вы все правильно делаете. Проверьте настройки. Я так делал и у меня все работало.

[Agent Smit]

А возможно не работает из-за того что версия маршрутизатора R1 Mikrotik v6.28. Обновлять коллеги не хотят потому что возможны проблемы с настройками после обновления, например с фильтрацией p2p трафика.
На практике встречалось, что на старых прошивках mikrotik плохо работает когда настроен vpn ipsec site-to-site и при включении l2tp сервера. Возможно и при пробросе портов 500,1701, 4500 такие же проблемы.

Кто-нибудь сталкивался с проблемами при одновременной работе vpn ipsec site-to-site и l2tp сервера?

[Vlad-2]

А возможно не работает из-за того что версия маршрутизатора R1 Mikrotik v6.28. Обновлять коллеги не хотят потому что возможны проблемы с настройками после обновления, например с фильтрацией p2p трафика.

Странные коллеги, которые юзают микротик, но не принимают его концепцию о обновлении.

а) во-первых проблема запроста может быть в этом.
б) во-вторых, некоторые версии старые и вроде даже и 6.30.хх были якобы скопроментированы и якобы есть уязвимости, поэтому
я и удивлён, что используют и не обновляют, когда есть угроза.
в) да, с фильтрацией р2р всё хуже, но думаю она и сейчас у них не работает по полной, р2р трафик сейчас в основном шифрованный,
или скажем очень специфичный, поэтому даже в 6.28 это защита малоэффективна, и да, в последних прошивках её убрали, так как
признал сам разработчик что фильтрация р2р малоэффективна стандартными методами. Хотя на МУМе красиво один докладчик
расписал как он умудрился закрыть/ограничить торренты. Доклад просто сверх мощный - работа была проделана огромная.
(поискал - докладчик: Антон Тарасов)

Да и в новых прошивках столько ошибок пофиксили, подняли производительность, добавили новые инструменты и удобства...

P.S.
Попросите коллег может быть временно, взять отдельную железку, накатить туда их конфигурацию и обновиться до последней
стабильной прошивки, и может и у Вас взлетит, и у них что-то сдвинется, но тут нужно и время и заинтересованность в работе.

[Agent Smit]

Хотя на МУМе красиво один докладчик
расписал как он умудрился закрыть/ограничить торренты. Доклад просто сверх мощный - работа была проделана огромная.
(поискал - докладчик: Антон Тарасов)

На этой презентации они разбирали протокол для блокировки торрентов создавали кучу правил, ОЗУ маршрутизатора сильно загружалось и самое главное толку все равно мало, если использовать прокси или другие сервера посредники. Если конечно мы говорим о одной и той же презентации.

Бывают ли случаи когда при обновлении может не запуститься маршрутизатор?

[Vlad-2]

На этой презентации они разбирали протокол для блокировки торрентов создавали кучу правил, ОЗУ маршрутизатора сильно загружалось и самое главное толку все равно мало, если использовать прокси или другие сервера посредники. Если конечно мы говорим о одной и той же презентации.

Похоже про одну и туже презентацию, но при чём тут прокся, проксю легче и проще перекрыть,а вот торренты с любым портом + шифрования это не просто.
Там он создавал паттерны в рамках L7 и всё это применял, плюс разобрал торрент протокол под более глубоким основанием(внутри торрента,
ещё под-протоколы есть). И каждый он выделил, нашёл, метил и резал скорость.
Естественно что на простых совсем роутерах такое точно скорее не пойдёт, но для организации всё более чем по показателям хорошо,
и кстати, докладчик приводил данные свои, по загрузкам, памяти роутера своего + аптайм и не всё там так сложно и тяжело.

Бывают ли случаи когда при обновлении может не запуститься маршрутизатор?

Да...