не шифруются пакеты при l2tp+IPsec

Sertik · 21 сен 2018, 17:14

почему могут не шифроваться пакеты при l2TP+ipsec ? Тысячу раз проверил настройки l2tp и ipsec. VPN поднимается. IPsec пишет established. А счетчики байтов не бегут.

Sertik · 24 сен 2018, 11:34

В общем после двух дней мучений могу сказать что L2TP+IPSEC на Микротике - полный гемморой.
Максимум что удалось настроить нормально это работу типа site-to-site. То есть подключение клиента с Андройд или Windows к серверу L2TP+IPSEC Микротик. (Не забудьте, что надо править руками реестр Windows на машине-клиенте !).
Но вот соединить два Микротика через такое соединение - шиш. Без IPSEC - пожалуйста. С IPSEC внутри L2TP-тоннеля - не получается никак. Может, конечно из-за проблем с провайдером (сервер-статический IP мобильный LTE, клиент - динамический мобильный IP). esp-пакеты не бегают вообще.
В общем реализация глючная страшно, при этом сложная - все в разных местах и неудобная в настройке.
А нормального Open VPN на Микротике все нет ... Вот и остается старый, простой pptp.

xvo · 24 сен 2018, 11:48

Sertik писал(а): ↑24 сен 2018, 11:34 В общем после двух дней мучений могу сказать что L2TP+IPSEC на Микротике - полный гемморой.
Максимум что удалось настроить нормально это работу типа site-to-site. То есть подключение клиента с Андройд или Windows к серверу L2TP+IPSEC Микротик. (Не забудьте, что надо править руками реестр Windows на машине-клиенте !).

Это наоборот client-to-site и оно работает из коробки, то есть даже политики отдельно настраивать не надо, все в настройках l2tp сервера.

Sertik писал(а): ↑24 сен 2018, 11:34 Но вот соединить два Микротика через такое соединение - шиш. Без IPSEC - пожалуйста. С IPSEC внутри L2TP-тоннеля - не получается никак.

Может я чего не понимаю, но зачем IPsec внутри туннеля?
Вроде как обычно шифруется сам туннель?!

Sertik · 24 сен 2018, 12:14

1. Да, простите, не правильно написал. Имел ввиду именно client-to-site. Настраивается нормально.

2. Насчет второго - делал вот по этой инструкции.

https://lanmarket.ua/stats/poshagovaya- ... a-Mikrotik

Ни х не работает. Может там что не правильно. Шифровать пакеты мне надо в тоннеле, т.к. адрес WAN на клиенте серый и L2-TP тоннель как раз и делается для того чтобы сначала соединить сервер с белым IP с клиентом, имеющим серый. После соединения они получают адреса тоннеля. А потом уже IPSEC должен в нем шифровать трафик, так ведь ...
Подскажите, в чем глюки могут быть ...

xvo · 24 сен 2018, 16:18

Sertik писал(а): ↑24 сен 2018, 12:14 1. Да, простите, не правильно написал. Имел ввиду именно client-to-site. Настраивается нормально.

2. Насчет второго - делал вот по этой инструкции.

https://lanmarket.ua/stats/poshagovaya- ... a-Mikrotik

Ни х не работает. Может там что не правильно. Шифровать пакеты мне надо в тоннеле, т.к. адрес WAN на клиенте серый и L2-TP тоннель как раз и делается для того чтобы сначала соединить сервер с белым IP с клиентом, имеющим серый. После соединения они получают адреса тоннеля. А потом уже IPSEC должен в нем шифровать трафик, так ведь ...
Подскажите, в чем глюки могут быть ...

А вы пробовали просто подключить микротик так же, как и любой другой клиент?
В общем-то для l2tp достаточно белого ip только у сервера.
Это с чистым ipsec там нужны какие-то не совсем тривиальные вещи, но вроде как и его можно заставить работать.

Sertik · 24 сен 2018, 16:38

Просто подключить Микротик как L2-клиент - это не проблема. А нужно еще к этому IPSEC прикрутить, чтобы шифровать данные. Вы кажется немного не в теме.

xvo · 24 сен 2018, 18:30

Sertik писал(а): ↑24 сен 2018, 16:38 Просто подключить Микротик как L2-клиент - это не проблема. А нужно еще к этому IPSEC прикрутить, чтобы шифровать данные. Вы кажется немного не в теме.

Так вы пробовали просто подключить микротик как клиента со включенным дефолтным ipsec или нет?

У меня сейчас нет возможности проверить конкретный случай, когда клиент находится за натом, но я не вижу особых причин, почему оно не должно работать.

И да, совсем немножечко, но все-таки в теме.

Sertik · 25 сен 2018, 10:23

С дефолтным IP-sec подключить два Микротика не пробовал. Может это и мысль.

Sertik · 25 сен 2018, 16:13

xvo, Вам спасибо ! Дефолтное подключение Микротиков по L2TP+IPSEC работает.
Instaled Sas показывает, что шифрование есть, байты "бегают". Смущает одно - почему счетчики в IP/Firewall/filtres по протоколу esp 50 по "нулям" ? Почему то вся работа идет по 1701 порту. Это правильно ?

xvo · 25 сен 2018, 20:59

Sertik писал(а): ↑25 сен 2018, 16:13 xvo, Вам спасибо ! Дефолтное подключение Микротиков по L2TP+IPSEC работает.
Instaled Sas показывает, что шифрование есть, байты "бегают". Смущает одно - почему счетчики в IP/Firewall/filtres по протоколу esp 50 по "нулям" ? Почему то вся работа идет по 1701 порту. Это правильно ?

У меня так же.
Я сначала тоже удивился, но как-то не дошли руки погуглить, почему.

не шифруются пакеты при l2tp+IPsec

Вход • Регистрация