l2tp/ipsec mikrotik-android

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
ovg
Сообщения: 0
Зарегистрирован: 30 апр 2013, 18:26

Приветствую, пытаюсь получить l2tp/ipsec между mikrotik & android, по видимому ipsec запускается но l2tp не может согласовать соединение:

Код: Выделить всё

[Admin@Router] > 
  (9 messages discarded)
echo: l2tp,debug tunnel 23 entering state: wait-ctl-conn
echo: l2tp,debug,packet sent control message to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=0, nr=1
echo: l2tp,debug,packet     (M) Message-Type=SCCRP
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x1
echo: l2tp,debug,packet     (M) Bearer-Capabilities=0x0
echo: l2tp,debug,packet     Firmware-Revision=0x1
echo: l2tp,debug,packet     (M) Host-Name="Router"
echo: l2tp,debug,packet     Vendor-Name="MikroTik"
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=23
echo: l2tp,debug,packet     (M) Receive-Window-Size=4
[Admin@Router] >
echo: l2tp,debug,packet sent control message to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=0, nr=1
echo: l2tp,debug,packet     (M) Message-Type=SCCRP
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x1
echo: l2tp,debug,packet     (M) Bearer-Capabilities=0x0
echo: l2tp,debug,packet     Firmware-Revision=0x1
echo: l2tp,debug,packet     (M) Host-Name="Router"
echo: l2tp,debug,packet     Vendor-Name="MikroTik"
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=23
echo: l2tp,debug,packet     (M) Receive-Window-Size=4
[Admin@Router] >
echo: l2tp,debug,packet sent control message to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=0, nr=1
echo: l2tp,debug,packet     (M) Message-Type=SCCRP
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x1
echo: l2tp,debug,packet     (M) Bearer-Capabilities=0x0
echo: l2tp,debug,packet     Firmware-Revision=0x1
echo: l2tp,debug,packet     (M) Host-Name="Router"
echo: l2tp,debug,packet     Vendor-Name="MikroTik"
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=23
echo: l2tp,debug,packet     (M) Receive-Window-Size=4
[Admin@Router] >
echo: l2tp,debug,packet rcvd control message from 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
echo: l2tp,debug,packet     (M) Message-Type=SCCRQ
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Host-Name="anonymous"
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x3
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=54776
echo: l2tp,debug,packet     (M) Receive-Window-Size=1
echo: l2tp,debug,packet sent control message (ack) to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=1, nr=1
[Admin@Router] >
  (9 messages discarded)
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=23
echo: l2tp,debug,packet     (M) Receive-Window-Size=4
echo: l2tp,debug,packet rcvd control message from 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
echo: l2tp,debug,packet     (M) Message-Type=SCCRQ
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Host-Name="anonymous"
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x3
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=54776
echo: l2tp,debug,packet     (M) Receive-Window-Size=1
echo: l2tp,debug,packet sent control message (ack) to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=1, nr=1
[Admin@Router] >
echo: l2tp,debug,packet rcvd control message from 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
echo: l2tp,debug,packet     (M) Message-Type=SCCRQ
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Host-Name="anonymous"
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x3
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=54776
echo: l2tp,debug,packet     (M) Receive-Window-Size=1
echo: l2tp,debug,packet sent control message (ack) to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=1, nr=1
[Admin@Router] >
echo: l2tp,debug,packet sent control message to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=0, nr=1
echo: l2tp,debug,packet     (M) Message-Type=SCCRP
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x1
echo: l2tp,debug,packet     (M) Bearer-Capabilities=0x0
echo: l2tp,debug,packet     Firmware-Revision=0x1
echo: l2tp,debug,packet     (M) Host-Name="Router"
echo: l2tp,debug,packet     Vendor-Name="MikroTik"
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=23
echo: l2tp,debug,packet     (M) Receive-Window-Size=4
[Admin@Router] >
echo: l2tp,debug,packet rcvd control message from 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
echo: l2tp,debug,packet     (M) Message-Type=SCCRQ
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Host-Name="anonymous"
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x3
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=54776
echo: l2tp,debug,packet     (M) Receive-Window-Size=1
echo: l2tp,debug,packet sent control message (ack) to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=1, nr=1
[Admin@Router] >
echo: l2tp,debug,packet rcvd control message from 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
echo: l2tp,debug,packet     (M) Message-Type=SCCRQ
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Host-Name="anonymous"
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x3
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=54776
echo: l2tp,debug,packet     (M) Receive-Window-Size=1
echo: l2tp,debug,packet sent control message (ack) to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=1, nr=1
[Admin@Router] >
echo: l2tp,debug,packet rcvd control message from 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
echo: l2tp,debug,packet     (M) Message-Type=SCCRQ
echo: l2tp,debug,packet     (M) Protocol-Version=0x01:00
echo: l2tp,debug,packet     (M) Host-Name="anonymous"
echo: l2tp,debug,packet     (M) Framing-Capabilities=0x3
echo: l2tp,debug,packet     (M) Assigned-Tunnel-ID=54776
echo: l2tp,debug,packet     (M) Receive-Window-Size=1
echo: l2tp,debug,packet sent control message (ack) to 213.87.241.228:55466
echo: l2tp,debug,packet     tunnel-id=54776, session-id=0, ns=1, nr=1

Подскажите куда рыть

С уважением, OVG.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

попробуйте спросить на .ком ресурсе


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Gudini
Сообщения: 36
Зарегистрирован: 14 янв 2013, 14:43

можно и без ком. Проверьте подключение в через другого провайдера. МТС режет vpn.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Gudini писал(а): МТС режет vpn.

Точно! Проскакивала такая информация в сети и не раз.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
ovg
Сообщения: 0
Зарегистрирован: 30 апр 2013, 18:26

День добрый, в общем ситуация следующая, на микротике поднята балансировка двух каналов по вашему мануалу, при двух подключениях vpn не поднимается, почему-то в активных сессиях видно что микротик отвечает через другого провайдера, при отключении одного провайдера vpn устанавливается.
маркировка соединений:

Код: Выделить всё

0   chain=input action=mark-connection new-connection-mark=MTS_conn passthrough=yes in-interface=pppoe-MTS 

 1   chain=input action=mark-connection new-connection-mark=RT_conn passthrough=yes in-interface=pppoe-RT

 2   chain=output action=mark-routing new-routing-mark=to_MTS passthrough=yes out-interface=pppoe-MTS connection-mark=MTS_conn

 3   chain=output action=mark-routing new-routing-mark=to_RT passthrough=yes out-interface=pppoe-RT connection-mark=RT_conn

Соединения при подключении с двумя провайдерами (вопрос по 10 позиции):

Код: Выделить всё

 
 5 SA protocol=udp src-address=213.87.241.137:53176 dst-address=xxx.xxx.xxx.232:500 reply-src-address=xxx.xxx.xxx.232:500 reply-dst-address=213.87.241.137:53
      timeout=1m6s connection-mark="RT_conn" p2p=none

 6 SA protocol=udp src-address=213.87.241.137:51184 dst-address=xxx.xxx.xxx.232:4500 reply-src-address=xxx.xxx.xxx.232:4500 reply-dst-address=213.87.241.137:
      timeout=1m6s connection-mark="RT_conn" p2p=none

 7 SA protocol=udp src-address=213.87.241.137:51632 dst-address=xxx.xxx.xxx.232:500 reply-src-address=1xxx.xxx.xxx.232:500 reply-dst-address=213.87.241.137:51
      timeout=2m53s connection-mark="RT_conn" p2p=none

  9    protocol=udp src-address=213.87.241.137:56143 dst-address=1xxx.xxx.xxx.232:1701 reply-src-address=1xxx.xxx.xxx.232:1701 reply-dst-address=213.87.241.137:
      timeout=6s connection-mark="RT_conn" p2p=none

10    protocol=udp src-address=yyy.yyy.yyy.247:500 dst-address=213.87.241.137:500 reply-src-address=213.87.241.137:500 reply-dst-address=yyy.yyy.yyy.247:500
      timeout=6s p2p=none

Видимо с маркировкой что то не то, куда рыть?
ПС. по МТС еще есть отдельный вопрос, но все по порядку..


ovg
Сообщения: 0
Зарегистрирован: 30 апр 2013, 18:26

Приветствую, хочется продолжить тему, благо время и желание опять появились, поразмышляв почему пакеты приходят не с того интерфейса решил промаркировать не соединения как в выше приведенных правилах, а пакеты. Входящие пакеты по правилам есть, но почему то output-пакетов нет.
ip firewall mangle print

1 X chain=input action=mark-packet new-packet-mark=udp_MTS passthrough=yes protocol=udp in-interface=pppoe-MTS src-port=500 dst-port=500
3 X chain=input action=mark-packet new-packet-mark=udp_RT passthrough=yes protocol=udp in-interface=pppoe-RT src-port=500 dst-port=500
5 X chain=output action=mark-routing new-routing-mark=to_udp_MTS passthrough=yes protocol=udp out-interface=pppoe-MTS src-port=500 dst-port=500 packet-mark=udp_MTS
7 X chain=output action=mark-routing new-routing-mark=to_udp_RT passthrough=yes protocol=udp out-interface=pppoe-RT src-port=500 dst-port=500 packet-mark=udp_RT

ip route export
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-MTS routing-mark=to_MTS scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-MTS routing-mark=to_udp_MTS scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-RT routing-mark=to_RT scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-RT routing-mark=to_udp_RT scope=30 target-scope=10

Подскажите, что сделал неправильно.

С уважением OVG.
Последний раз редактировалось ovg 11 ноя 2013, 08:12, всего редактировалось 1 раз.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

2 , 3 на прироутинг и в срц адрес пропишите вашу сеть


Есть интересная задача и бюджет? http://mikrotik.site
ovg
Сообщения: 0
Зарегистрирован: 30 апр 2013, 18:26

Добрый день, честно говоря не уловил, можно по подробнее, как начинающему....

С уважением OVG.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:



Есть интересная задача и бюджет? http://mikrotik.site
ovg
Сообщения: 0
Зарегистрирован: 30 апр 2013, 18:26

День добрый, по ссылке сходил, сделал как описано, проблема осталась, постараюсь описать ее по подробнее. Есть два подключения к провайдерам по PPPOE с получением статических белых адресов, через каждое продключение устанавливается IPSEC в режиме тоннеля, все работает со следующими настройками:
ip firewall mangle print

Код: Выделить всё

 0   chain=input action=mark-connection new-connection-mark=MTS_conn passthrough=yes in-interface=pppoe-MTS 
 1 I chain=input action=mark-connection new-connection-mark=RT_conn passthrough=yes in-interface=pppoe-RT
 2   chain=output action=mark-routing new-routing-mark=to_MTS passthrough=yes out-interface=pppoe-MTS connection-mark=MTS_conn
 3 I chain=output action=mark-routing new-routing-mark=to_RT passthrough=yes out-interface=pppoe-RT connection-mark=RT_conn

ip route export

Код: Выделить всё

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-MTS routing-mark=to_MTS scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-RT routing-mark=to_RT scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-RT,pppoe-MTS scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.ххх.ххх.0/24 gateway=Local_Net pref-src=172.ххх.ххх.1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=172.ууу.ууу.0/24 gateway=Local_Net pref-src=172.ххх.ххх.1 scope=30 target-scope=10

Но, при попытке подключения L2TP over IPSEC, при двух работающих подключениях PPPoE, IPSEC тоннель создается, а L2TP не устанавливается, хотя при отключении любого провайдера подключение проходит.
При подключении L2TP выдаются свои IP из пула.


Ответить