День добрый, возник вопрос по настройке связки l2tp + ikev2. Создал сертификаты для клиента и для сервера, клиентский перенес на клиента. Настроил L2tp сервера и клиента в ipsec на обоих концах создал peer и identities (Auth Metod Digital signature) . Как заставить микротик использовать именное IKEV2? Сейчас в свойствах l2tp (На сервере) в поле Use IPsec - requied , соответственно могу подключится как с использование сертификата- IKEV2 так и просто по имени и паролю + IPsec Secret . Необходимо остаdить только возможность
подключения по L2tp + IKEV2
L2tp + Ikev2
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
В настройках l2tp сервера ipsec отключить.
Telegram: @thexvo
-
- Сообщения: 26
- Зарегистрирован: 10 июн 2021, 14:59
Если в настройках L2TP server не выбрать Use IPsec required то клиент может подключится по имени и паролю (вообще без IPSEC) !
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 26
- Зарегистрирован: 10 июн 2021, 14:59
Не совсем пойму как это сделать
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
/ip firewall filter add action=accept chain=input comment="allow l2tp with ipsec enabled" dst-port=1701 ipsec-policy=in,ipsec protocol=udp
Telegram: @thexvo
-
- Сообщения: 26
- Зарегистрирован: 10 июн 2021, 14:59
В фаерволе
add action=accept chain=input dst-port=500,4500 in-interface-list=Wan protocol=udp
add action=accept chain=input dst-port=1701 in-interface-list=Wan ipsec-policy= in,ipsec protocol=udp
IPsec подымается l2tp нет, такое ощущение что что-то упустил
add action=accept chain=input dst-port=500,4500 in-interface-list=Wan protocol=udp
add action=accept chain=input dst-port=1701 in-interface-list=Wan ipsec-policy= in,ipsec protocol=udp
IPsec подымается l2tp нет, такое ощущение что что-то упустил
Последний раз редактировалось dr753 22 июл 2021, 15:03, всего редактировалось 1 раз.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ещё правило разрешающее протокол 50 (ipsec-esp) нужно.
Telegram: @thexvo
-
- Сообщения: 26
- Зарегистрирован: 10 июн 2021, 14:59
Цепочка iptables на сервере
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=53 in-interface-list=Lan protocol=udp
add action=accept chain=input dst-port=8291 in-interface-list=Lan protocol=tcp
add action=accept chain=input dst-port=500,4500 in-interface-list=Wan protocol=udp
add action=accept chain=input dst-port=1701 in-interface-list=Wan ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input in-interface-list=Wan protocol=ipsec-esp
add action=drop chain=input
На клиенте и на сервере созданы peer и identites (с настройками на IKEV2)
Без сертификатов подключение не проходит.
Проделал следующий эксперимент - Установил подключение с клиента к серверу через IKEV2, на на клиенте mikrotik в PPP-interfaces останавливаю поднятое l2tp (disable) , в ipsec на клиенте отключаю peer и identites (так же disable), Включаю l2tp подключение устанавливается !
Ребутаю mikrotik который выполняет роль сервера, теперь подключение с клиента с отрубленными peer и identites не проходит.
Подскажите почему так ?
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=53 in-interface-list=Lan protocol=udp
add action=accept chain=input dst-port=8291 in-interface-list=Lan protocol=tcp
add action=accept chain=input dst-port=500,4500 in-interface-list=Wan protocol=udp
add action=accept chain=input dst-port=1701 in-interface-list=Wan ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input in-interface-list=Wan protocol=ipsec-esp
add action=drop chain=input
На клиенте и на сервере созданы peer и identites (с настройками на IKEV2)
Без сертификатов подключение не проходит.
Проделал следующий эксперимент - Установил подключение с клиента к серверу через IKEV2, на на клиенте mikrotik в PPP-interfaces останавливаю поднятое l2tp (disable) , в ipsec на клиенте отключаю peer и identites (так же disable), Включаю l2tp подключение устанавливается !
Ребутаю mikrotik который выполняет роль сервера, теперь подключение с клиента с отрубленными peer и identites не проходит.
Подскажите почему так ?
-
- Сообщения: 26
- Зарегистрирован: 10 июн 2021, 14:59
Как говорится сам сломал сам сделал
add action=accept chain=input connection-state=established,related
В connection tracking UDP соединение ещё не истекло,
поэтому он разрешает подключение.
add action=accept chain=input connection-state=established,related
В connection tracking UDP соединение ещё не истекло,
поэтому он разрешает подключение.