L2TP-сервер на RouterOS не работает шифрование

Сообщения не соответствующие ПФ, а также неоднократно повторяющиеся Темы
Закрыто
postrel
Сообщения: 3
Зарегистрирован: 09 окт 2015, 15:42

повторно, привет vqd

Стоит академическая цель протестировать разные маршрутизаторы на пропускную способность LAN<->WAN при разных способах подключения (PPTP и L2TP в частности)
тестовый стенд видится так:
(комп-1) - (тестируемый маршрутизатор) - (сервер с RouterOS) - (комп-2)
(сервер с RouterOS) обеспечивает нужные виды подключения
пропускная способность (комп-1) - (сервер с RouterOS) - (комп-2) в разы выше чем может обеспечить (тестируемый маршрутизатор)
(тестируемый маршрутизатор) - любой, что ставится дома для раздачи интернета (от D-Link DIR-300 до Zyxel Keenetic Ultra и т.д.)

 Текущая настройка RouterOS
ip addres add addres=192.168.2.77/24 interface=ether1
ip addres add addres=10.10.10.2/24 interface=ether2

/ip pool add name=vpn_pool ranges=10.0.0.2-10.0.0.10

/interface l2tp-server server set default-profile=default enabled=yes

/ppp profile
add name=l2tp change-tcp-mss=yes local-address=10.0.0.1 only-one=default \
remote-address=vpn_pool use-compression=default use-encryption=yes

/ppp secret
add name=user password=112233 profile=l2tp

/interface l2tp-server
add name=user user=user

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des \
lifetime=30m name=default pfs-group=modp1024


/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key \
secret="shared_password_key" exchange-mode=main-l2tp send-initial-contact=yes \
nat-traversal=yes proposal-check=obey hash-algorithm=sha1 \
enc-algorithm=3des dh-group=modp1024

настраиваю L2TP подключение на (комп-1)
по схеме (комп-1) - (сервер с RouterOS) - (комп-2)
при этом указываю "test" в свойствах подключения (preshared key) и все работает

проблема в том, что когда настраиваю (тестируемый маршрутизатор) и указываю протокол L2TP, имя и пароль пользователя то подключение поднимается (комп-1 видит комп-2), но без шифрования (в Remoute Peers пусто, в Installed SAs тоже только то, что добавилось при подключении компа напрямую)

собственно вопрос, можно ли добиться подключения с работающим шифрованием? и если да, то куда смотреть?


carassin
Сообщения: 49
Зарегистрирован: 24 сен 2013, 16:24

разве на (тестируемом маршрутизаторе) ipsec не надо "готовить" ?


postrel
Сообщения: 3
Зарегистрирован: 09 окт 2015, 15:42

carassin писал(а):разве на (тестируемом маршрутизаторе) ipsec не надо "готовить" ?

ни у одного провайдера, подключающего клиентов по L2TP ничего кроме сервера VPN, имени пользователя и пароля не нужно для подключения, а цель то как раз сымитировать работу провайдера


carassin
Сообщения: 49
Зарегистрирован: 24 сен 2013, 16:24

ну так вы и сымитировали... ipsec тогда тут причем ?, если вы его не настраивали на (тестируемом маршрутизаторе), то откуда взяться шифрованию ?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

я не знаю, успели ли вы прочитать мой прошлый пост?

Ну почему L2TP, PPPtP??? Самый простой способ - это PPPoE. Мало того, через PPPoE можно клиенту отдать все настройки автоматом.
Сплошные удобства, да и маршрутизаторы домашние его легко переваривают, есть модели с аппаратным NAT, и PPoE аппаратный даже стали появляться. Что-то там и зиксел, и длинк делать пытались.


postrel
Сообщения: 3
Зарегистрирован: 09 окт 2015, 15:42

gmx писал(а):Ну почему L2TP, PPPtP???

потому, что цель не подключить, цель - проверить, а провайдеры используют все варианты.
в сомнения и мысли о шифровании вогнал бюджетный роутер на RTL8196 выдавший почти 100Мбит/с через L2TP, сейчас жду пару маршрутизаторов которые тестировались ранее и если результаты повторятся то значит мой тестовый стенд работает правильно, нет - буду искать в чем причина


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

gmx писал(а):я не знаю, успели ли вы прочитать мой прошлый пост?

Ну почему L2TP, PPPtP??? Самый простой способ - это PPPoE. Мало того, через PPPoE можно клиенту отдать все настройки автоматом.
Сплошные удобства, да и маршрутизаторы домашние его легко переваривают, есть модели с аппаратным NAT, и PPoE аппаратный даже стали появляться. Что-то там и зиксел, и длинк делать пытались.


Человек просто считает что если l2tp значит типа IPsec само собой разумеется. так же он наивно считает что домашние роутеры умеют это автоматом.

Но он не вменяет то что ему говорят.

В общем еще сутки и тема в утиль


Есть интересная задача и бюджет? http://mikrotik.site
Закрыто