L2TP / IPSec

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

Настраивал по статье
VPN L2TP under Mikrotik

/ppp profile
add change-tcp-mss=yes dns-server=192.168.1.254 local-address=172.21.16.254 \
name=VPN-server only-one=no remote-address=VPN-server use-compression=\
default use-encryption=default use-ipv6=no use-mpls=default \
use-vj-compression=default wins-server=192.168.1.3
set 3 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=required use-ipv6=no use-mpls=\
default use-vj-compression=default

/ppp secret
add caller-id=”" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=user password=passwd \
profile=VPN-server routes=”" service=l2tp

/ip pool
add name=VPN-server ranges=172.21.16.100-172.21.16.200

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=VPN-server enabled=yes \
max-mru=1460 max-mtu=1460 mrru=disabled

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des \
lifetime=30m name=default pfs-group=modp1024

/ip ipsec peer
add address=0.0.0.0/0 auth-method=pre-shared-key comment=”COMPANY VPN” \
dh-group=modp1024 disabled=no dpd-interval=2m dpd-maximum-failures=5 \
enc-algorithm=3des exchange-mode=main-l2tp generate-policy=yes \
hash-algorithm=sha1 lifetime=1d my-id-user-fqdn=”" nat-traversal=yes port=\
500 secret=secret_password send-initial-contact=yes

/ip firewall filter
add action=accept chain=input comment=”L2TP VPN” disabled=no dst-address=\
xx.xx.xx.xx dst-port=500,4500,1701 protocol=udp
add action=accept chain=input comment=”L2TP VPN” disabled=no protocol=ipsec-esp
add action=accept chain=output comment=”L2TP VPN” disabled=no dst-address=\
xx.xx.xx.xx dst-port=500,4500,1701 protocol=udp

/system logging
add action=memory disabled=no prefix=”" topics=ipsec
add action=memory disabled=no prefix=”" topics=radius


Есть не понятки клиенты подключаются с разным шифрованием из лога видно,что это за шифрование encoding - MPPE128

<l2tp-user1>: using encoding - MPPE128 stateless

Все остальные cbc(des3_ede) + hmac(sha1)


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

/ppp profile
add change-tcp-mss=yes dns-server=192.168.1.254 local-address=172.21.16.254 \
name=VPN-server only-one=no remote-address=VPN-server use-compression=\
default use-encryption=default use-ipv6=no use-mpls=default \
use-vj-compression=default wins-server=192.168.1.3
set 3 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=required use-ipv6=no use-mpls=\
default use-vj-compression=default


конкретно

use-encryption=required


Есть интересная задача и бюджет? http://mikrotik.site
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

Да у меня так и стоит

# aug/31/2015 20:53:04 by RouterOS 6.30.4

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des pfs-group=none

/ppp profile
add change-tcp-mss=yes dns-server=192.168.1.2 local-address=192.168.11.1 \
name=l2tp-vpn-lan only-one=no use-encryption=required

/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp-vpn-lan enabled=yes \
ipsec-secret=ZZZZZZZ max-mru=1460 max-mtu=1460

/ip ipsec peer
add address=0.0.0.0/0 comment=ipsec_key enc-algorithm=3des exchange-mode=\
main-l2tp generate-policy=port-override local-address=0.0.0.0 secret=\
ZZZZZZZ

/ppp secret
add name=user password=e4ng2 profile=l2tp-vpn-lan remote-address=\
192.168.11.6 service=l2tp


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну вижу что оно у вас так и стоит. Поэтому и показал в ответ на ваш вопрос


Есть интересная задача и бюджет? http://mikrotik.site
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

конкретно

use-encryption=required

Так что сдесь ставить ?
чтобы не было MPPE128 stateless


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

NO разумеется


Есть интересная задача и бюджет? http://mikrotik.site
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

и при этом клиенты подключаться по cbc(des3_ede) + hmac(sha1)


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну а вам чего надо?


Есть интересная задача и бюджет? http://mikrotik.site
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

мне нужно чтобы клиенты подключались только с шифрованием cbc(des3_ede) + hmac(sha1)


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ладно пошел я


Есть интересная задача и бюджет? http://mikrotik.site
Ответить