Желаю здравствовать всем участникам форума !
Отдельные приветствия мои знатокам и друзьям !
Нужна Ваша помощь. Не хочет подключаться L2TP+IPSEC VPN-клиент Микротик 6.46.3 через "мобильный" lte-канал (Мегафон) к Микротику-серверу L2TP+IPSEC с белым статическим IP (проводной WAN) от Билайна (простите, что так занудно описал).
При этом другой аналогичный роутер-клиент, работающий через Сим-карту Билайн с точно такими же настройками (проверял сто раз) подключается на ура, без проблем.
Никаких ошибок (красным цветом) в логах нету - и сервер и клиент пишут "old tunnel not closed yet ..." и подключения не происходит, все отваливается и попытки подключения начинаются заново. В IPsec ключи создаются. Порты разумеется на сервере нужные для L2TP и IPSEC открыты (я уже писал, что другой роутер с аналогичными настройками подключается без проблем).
Проблема в провайдере роутера клиента ? Режет 500 порт ? или в чём ? Может такая штука быть из-за низкого уровня сигнала неподключающегося Микротика-клиента ("слабого" его LTE-канала - типа скорости не хватает чтобы установить соединение L2TP+IPSEC "зацепиться") ?
Прилагаю картинки логов с неподключающегося клиента и сервера (не пинайте, адреса убрал, разумеется ...):
нужна помощь с VPN L2TP+IPSEC
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 1598
- Зарегистрирован: 15 сен 2017, 09:03
-
- Сообщения: 1598
- Зарегистрирован: 15 сен 2017, 09:03
Пока отвечаю сам себе ибо никто не откликнулся, печалька Включал логирование, в том числе ipsec. Вроде все гуд ... ошибок нет. Но подключения нет. В лог вываливается куча инфы, может чего не вижу.
Пытался общаться с Мегафон. Сразу пишу им что я сисадмин, иначе девочки бестолковые пристают с дурацкими вопросами ... Тишина пока. В инете нарыл инфу неоднократную что Мегафон режет l2tp+ipsec т.к. автор считает, что они так "предотвращают обходы блокировок" (вероятно имеется ввиду разных сайтов запрещенных РКН и мессенджеров) ... Попробую с другой сим-картой Мегафон. Если такая же байда будет - ясно виноват Мегафон. Если нет - значит тариф конкретный или опции. Но с этой же точки рядом стоящий тик через Билайн работает без всяких проблем с точно такими же настройками ...
Пытался общаться с Мегафон. Сразу пишу им что я сисадмин, иначе девочки бестолковые пристают с дурацкими вопросами ... Тишина пока. В инете нарыл инфу неоднократную что Мегафон режет l2tp+ipsec т.к. автор считает, что они так "предотвращают обходы блокировок" (вероятно имеется ввиду разных сайтов запрещенных РКН и мессенджеров) ... Попробую с другой сим-картой Мегафон. Если такая же байда будет - ясно виноват Мегафон. Если нет - значит тариф конкретный или опции. Но с этой же точки рядом стоящий тик через Билайн работает без всяких проблем с точно такими же настройками ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) а чего просто писать если мало (у меня) в этом опыта. С LTE почти не работаю,
а с каналами работаю между узлами и объектами, там всегда есть почти
проводное подключение, и почти также всегда реальный IP
2) то что провайдеры (сотовые) давно режут рртр и GRE и L2TP - давно многим известно,
более скажу, что на тарифе для физика это скажем режется точно (или на 90%)(у некоторых операторов!!),
на тарифе от конторы, чаще это позволено, а если ещё и реальный айпи купить, точно должно быть разрешено.
Это я к тому, что сотовые операторы - это ещё одна стена, которую в каждом конкретном
случаи надо изучить и пройти.
3) Ради фана(fun) подними рртр сессию, потом уже поиграйся с л2тп и уже потом с ipsec.
Или сделать извращение: тупо рртр, а внутри уже ipsec
-
- Сообщения: 1598
- Зарегистрирован: 15 сен 2017, 09:03
для VLAD-2
Приветствую, учителя ! Как там на Камчатке у Вас ?
По Вашему комментарию:
На роутере l2tp-клиенте+ipsec (который является предметом дискуссии и не хочет подниматься) у меня lte-канал через СИМ-карту Мегафон с федеральным специальным тарифом и белым статическим IP. Этот канал спокойно работает как pptp-клиент, как pptp-сервер, как ovpn-клиент и как ovpn-сервер.
Но вот потребовалось настроить его как l2tp-клиент+ipsec и ни в какую. Так, что что-то режется именно либо на портах l2tp либо портах или трафике ipsec. Ну или gre трафик. Как предположил easyman может проблема именно в l2tp а не в ipsec (т.е. ни то ни другое на этом роутере и сим-карте до настоящего времени опробовано не было за отсутствием необходимости до настоящего времени) Попробую поковыряться ...
Есть "простой" метод (но туда придется поехать физически) вставлю СИМ-карту другого оператора (проверенного Билайн, вытащу из другого роутера, от него как я писал всё работает отлично) и если заработает - значит "Мегафоны" виноваты. Дальше будем бодаться с ними, т.к. тариф то специальный без ограничений типа да ещё с фиксированным белым IP и за немалые деньги - пускай объясняют причину избирательных блокировок трафика ...
Недавно кстати бодался с ними по другому близкому вопросу три аж дня ! ... Но доказал таки что они верблюды - что Вы думаете - исправили свою ошибку и компенсировали деньгами неустойку ! Так то вот. Но нервов стоило конечно не мало. Особенно доканывает то, что всегда общение с ними начинается через службу поддержки и каждый "сеанс" с "нуля" - то есть сначала тупой робот, потом бестолковые девочки-операторы, потом кто-то из операторов чуть по умнее, потом они отправляют запрос спецам в IT-отделе и только через 1-7 суток ! (по их условиям) вопрос решается или отклоняется ! Вообще, конечно, по сути произвол полный. Делают всё что хотят пользуясь монопольной властью. К чему это приводит (в виде полной компьютеризации всех услуг в том числе так называемых госуслуг, мы сейчас все на своей шкуре чувствуем (намек мой я думаю всем понятен) ...
А вот то что Вы написали
Приветствую, учителя ! Как там на Камчатке у Вас ?
По Вашему комментарию:
На роутере l2tp-клиенте+ipsec (который является предметом дискуссии и не хочет подниматься) у меня lte-канал через СИМ-карту Мегафон с федеральным специальным тарифом и белым статическим IP. Этот канал спокойно работает как pptp-клиент, как pptp-сервер, как ovpn-клиент и как ovpn-сервер.
Но вот потребовалось настроить его как l2tp-клиент+ipsec и ни в какую. Так, что что-то режется именно либо на портах l2tp либо портах или трафике ipsec. Ну или gre трафик. Как предположил easyman может проблема именно в l2tp а не в ipsec (т.е. ни то ни другое на этом роутере и сим-карте до настоящего времени опробовано не было за отсутствием необходимости до настоящего времени) Попробую поковыряться ...
Есть "простой" метод (но туда придется поехать физически) вставлю СИМ-карту другого оператора (проверенного Билайн, вытащу из другого роутера, от него как я писал всё работает отлично) и если заработает - значит "Мегафоны" виноваты. Дальше будем бодаться с ними, т.к. тариф то специальный без ограничений типа да ещё с фиксированным белым IP и за немалые деньги - пускай объясняют причину избирательных блокировок трафика ...
Недавно кстати бодался с ними по другому близкому вопросу три аж дня ! ... Но доказал таки что они верблюды - что Вы думаете - исправили свою ошибку и компенсировали деньгами неустойку ! Так то вот. Но нервов стоило конечно не мало. Особенно доканывает то, что всегда общение с ними начинается через службу поддержки и каждый "сеанс" с "нуля" - то есть сначала тупой робот, потом бестолковые девочки-операторы, потом кто-то из операторов чуть по умнее, потом они отправляют запрос спецам в IT-отделе и только через 1-7 суток ! (по их условиям) вопрос решается или отклоняется ! Вообще, конечно, по сути произвол полный. Делают всё что хотят пользуясь монопольной властью. К чему это приводит (в виде полной компьютеризации всех услуг в том числе так называемых госуслуг, мы сейчас все на своей шкуре чувствуем (намек мой я думаю всем понятен) ...
А вот то что Вы написали
это как ? Никогда не делал такого ... Как можно запустить шифрование ipsec в тоннеле pptp ? Такое возможно ? Там же ведь только шифрование по умолчанию может использоваться а это только один тип если я правильно понимаю mmpe128 или как то так оно называется (поправьте, могу ошибаться в названии типа шифрования). Или я не прав ? Тогда подскажите как сделать или ткните в инструкцию как настроить pptp+ipsec если такое действительно возможно ...Или сделать извращение: тупо рртр, а внутри уже ipsec
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я дал намёк, я имел ввиду сделать один уровень абстракции и поверх него сделать второй.
Какой то тренер года два на МУМе показывал свой проект, он на рртр делал связи и поверх них уже
всё остальное.
Поэтому я дал направление, скрыть от провайдера чистый ГРЕ/ipsec, и работать внутри сотового провайдера
скажем рртр только, или чистый л2тп без шифрование, а уже внутри канала заюзать уже другое...
ЕЩЁ раз...лишь направление и идея, не указание к действию.
-
- Сообщения: 1598
- Зарегистрирован: 15 сен 2017, 09:03
Для меня это крутовато. Вы же помните, что я не IT-инженер ... Идею я естественно Вашу понял, но как на адресах pptp-тоннеля организовать шифрование ipsec на практике я не знаю и делать это буду как говорил Кролик "неделю не меньше" ... постоянно наступая на грабли сложностей "ручной" настройки самого ipsec на Микротиках благо там параметров всяких немеренно ... Готовая инструкция есть ?
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1598
- Зарегистрирован: 15 сен 2017, 09:03
В результате поступил проще, поскольку у второго роутера прямой белый IP, я "перевернул" задачу - сделал его сервером, а первый роутер клиентом и настроил другой тип VPN. C l2tp под Мегафоном не получилось, на объекте попробую другие СИМ и тарифы.
Всем здоровья !
Всем здоровья !
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947