нужна помощь с VPN L2TP+IPSEC

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Желаю здравствовать всем участникам форума !
Отдельные приветствия мои знатокам и друзьям !

Нужна Ваша помощь. Не хочет подключаться L2TP+IPSEC VPN-клиент Микротик 6.46.3 через "мобильный" lte-канал (Мегафон) к Микротику-серверу L2TP+IPSEC с белым статическим IP (проводной WAN) от Билайна (простите, что так занудно описал).
При этом другой аналогичный роутер-клиент, работающий через Сим-карту Билайн с точно такими же настройками (проверял сто раз) подключается на ура, без проблем.
Никаких ошибок (красным цветом) в логах нету - и сервер и клиент пишут "old tunnel not closed yet ..." и подключения не происходит, все отваливается и попытки подключения начинаются заново. В IPsec ключи создаются. Порты разумеется на сервере нужные для L2TP и IPSEC открыты (я уже писал, что другой роутер с аналогичными настройками подключается без проблем).

Проблема в провайдере роутера клиента ? Режет 500 порт ? или в чём ? Может такая штука быть из-за низкого уровня сигнала неподключающегося Микротика-клиента ("слабого" его LTE-канала - типа скорости не хватает чтобы установить соединение L2TP+IPSEC "зацепиться") ?

Прилагаю картинки логов с неподключающегося клиента и сервера (не пинайте, адреса убрал, разумеется ...):

Изображение

Изображение


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Пока отвечаю сам себе ибо никто не откликнулся, печалька :ny_tik: Включал логирование, в том числе ipsec. Вроде все гуд ... ошибок нет. Но подключения нет. В лог вываливается куча инфы, может чего не вижу.
Пытался общаться с Мегафон. Сразу пишу им что я сисадмин, иначе девочки бестолковые пристают с дурацкими вопросами ... Тишина пока. В инете нарыл инфу неоднократную что Мегафон режет l2tp+ipsec т.к. автор считает, что они так "предотвращают обходы блокировок" (вероятно имеется ввиду разных сайтов запрещенных РКН и мессенджеров) ... Попробую с другой сим-картой Мегафон. Если такая же байда будет - ясно виноват Мегафон. Если нет - значит тариф конкретный или опции. Но с этой же точки рядом стоящий тик через Билайн работает без всяких проблем с точно такими же настройками ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

Настраивайте по отдельности - сначала поднимайте ipsec, потом разбирайтесь с l2tp. Ipsec у вас поднимается.
Последний раз редактировалось easyman 22 апр 2020, 15:29, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 22 апр 2020, 14:40 Пока отвечаю сам себе ибо никто не откликнулся, печалька :ny_tik:
1) а чего просто писать если мало (у меня) в этом опыта. С LTE почти не работаю,
а с каналами работаю между узлами и объектами, там всегда есть почти
проводное подключение, и почти также всегда реальный IP

2) то что провайдеры (сотовые) давно режут рртр и GRE и L2TP - давно многим известно,
более скажу, что на тарифе для физика это скажем режется точно (или на 90%)(у некоторых операторов!!),
на тарифе от конторы, чаще это позволено, а если ещё и реальный айпи купить, точно должно быть разрешено.
Это я к тому, что сотовые операторы - это ещё одна стена, которую в каждом конкретном
случаи надо изучить и пройти.

3) Ради фана(fun) подними рртр сессию, потом уже поиграйся с л2тп и уже потом с ipsec.
Или сделать извращение: тупо рртр, а внутри уже ipsec



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

для VLAD-2

Приветствую, учителя ! Как там на Камчатке у Вас ?

По Вашему комментарию:

На роутере l2tp-клиенте+ipsec (который является предметом дискуссии и не хочет подниматься) у меня lte-канал через СИМ-карту Мегафон с федеральным специальным тарифом и белым статическим IP. Этот канал спокойно работает как pptp-клиент, как pptp-сервер, как ovpn-клиент и как ovpn-сервер.
Но вот потребовалось настроить его как l2tp-клиент+ipsec и ни в какую. Так, что что-то режется именно либо на портах l2tp либо портах или трафике ipsec. Ну или gre трафик. Как предположил easyman может проблема именно в l2tp а не в ipsec (т.е. ни то ни другое на этом роутере и сим-карте до настоящего времени опробовано не было за отсутствием необходимости до настоящего времени) Попробую поковыряться ...
Есть "простой" метод (но туда придется поехать физически) вставлю СИМ-карту другого оператора (проверенного Билайн, вытащу из другого роутера, от него как я писал всё работает отлично) и если заработает - значит "Мегафоны" виноваты. Дальше будем бодаться с ними, т.к. тариф то специальный без ограничений типа да ещё с фиксированным белым IP и за немалые деньги - пускай объясняют причину избирательных блокировок трафика ...
Недавно кстати бодался с ними по другому близкому вопросу три аж дня ! ... Но доказал таки что они верблюды - что Вы думаете - исправили свою ошибку и компенсировали деньгами неустойку ! Так то вот. Но нервов стоило конечно не мало. Особенно доканывает то, что всегда общение с ними начинается через службу поддержки и каждый "сеанс" с "нуля" - то есть сначала тупой робот, потом бестолковые девочки-операторы, потом кто-то из операторов чуть по умнее, потом они отправляют запрос спецам в IT-отделе и только через 1-7 суток ! (по их условиям) вопрос решается или отклоняется ! Вообще, конечно, по сути произвол полный. Делают всё что хотят пользуясь монопольной властью. К чему это приводит (в виде полной компьютеризации всех услуг в том числе так называемых госуслуг, мы сейчас все на своей шкуре чувствуем (намек мой я думаю всем понятен) ...


А вот то что Вы написали
Или сделать извращение: тупо рртр, а внутри уже ipsec
это как ? Никогда не делал такого ... Как можно запустить шифрование ipsec в тоннеле pptp ? Такое возможно ? Там же ведь только шифрование по умолчанию может использоваться а это только один тип если я правильно понимаю mmpe128 или как то так оно называется (поправьте, могу ошибаться в названии типа шифрования). Или я не прав ? Тогда подскажите как сделать или ткните в инструкцию как настроить pptp+ipsec если такое действительно возможно ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 23 апр 2020, 11:08 это как ? Никогда не делал такого ... Как можно запустить шифрование ipsec в тоннеле pptp ? Такое возможно ? Там же ведь только шифрование по умолчанию может использоваться а это только один тип если я
Я дал намёк, я имел ввиду сделать один уровень абстракции и поверх него сделать второй.
Какой то тренер года два на МУМе показывал свой проект, он на рртр делал связи и поверх них уже
всё остальное.

Поэтому я дал направление, скрыть от провайдера чистый ГРЕ/ipsec, и работать внутри сотового провайдера
скажем рртр только, или чистый л2тп без шифрование, а уже внутри канала заюзать уже другое...
ЕЩЁ раз...лишь направление и идея, не указание к действию.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Для меня это крутовато. Вы же помните, что я не IT-инженер ... Идею я естественно Вашу понял, но как на адресах pptp-тоннеля организовать шифрование ipsec на практике я не знаю и делать это буду как говорил Кролик "неделю не меньше" ... постоянно наступая на грабли сложностей "ручной" настройки самого ipsec на Микротиках благо там параметров всяких немеренно ... Готовая инструкция есть ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

В результате поступил проще, поскольку у второго роутера прямой белый IP, я "перевернул" задачу - сделал его сервером, а первый роутер клиентом и настроил другой тип VPN. C l2tp под Мегафоном не получилось, на объекте попробую другие СИМ и тарифы.
Всем здоровья !


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить