L2TP и микротик RB951G-2HnD

Обсуждение оборудования и его настройки
DeniUA
Сообщения: 21
Зарегистрирован: 21 янв 2014, 10:00

Доброго дня, на этом роутере без каких либо проблем поднимается PPTP сервер, а вот L2TP никак, в логах никакого обращения нет к нему, дебаг естественно включен. Пробовал заходить с клиентов как W7,Android,iOS,Ubuntu. До IPSec дело не дошло т.к. сам тунель не поднимается.
Вот конфигурация:
[admin@MikroTik] > /export compact
# jan/21/2014 09:10:53 by RouterOS 6.7
# software id = A8W7-7LZ0
#
/interface bridge
add admin-mac=D4:CA:6D:BE:8E:E1 auto-mac=no disabled=yes name=bridge-local \
protocol-mode=rstp
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no l2mtu=2290 mode=\
ap-bridge name=wlan2
/interface ethernet
set [ find default-name=ether1 ] mac-address=D4:CA:6D:BE:8E:E0 name=\
ether1-gateway
set [ find default-name=ether2 ] arp=proxy-arp mac-address=D4:CA:6D:BE:8E:E1 \
name=ether2-master-local
set [ find default-name=ether3 ] mac-address=D4:CA:6D:BE:8E:E2 master-port=\
ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] mac-address=D4:CA:6D:BE:8E:E3 master-port=\
ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] mac-address=D4:CA:6D:BE:8E:E4 master-port=\
ether2-master-local name=ether5-slave-local
/interface l2tp-server
add name=l2tp-cli2 user=cli-l2tp
/interface ovpn-server
add name=ovpn-in1 user=cli-l2tp
/interface pptp-server
add name=pptp-cli1 user=cli1
/ip neighbor discovery
set bridge-local discover=no
set l2tp-cli2 discover=no
set ovpn-in1 discover=no
set pptp-cli1 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk group-ciphers=\
tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=okmzaq12 wpa2-pre-shared-key=okmzaq12
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5,sha1,null enc-algorithms=\
3des,aes-256-cbc pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=l2tp-pool ranges=192.168.87.2-192.168.87.100
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
add address-pool=dhcp disabled=no name=dhcp1
add address-pool=dhcp interface=ether1-gateway name=dhcp2
add address-pool=dhcp disabled=no interface=wlan2 name=dhcp3
/ppp profile
add change-tcp-mss=yes local-address=192.168.87.1 name=l2tp remote-address=\
l2tp-pool
set 2 local-address=default-dhcp remote-address=default-dhcp
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local
/interface l2tp-server server
set authentication=mschap2 enabled=yes keepalive-timeout=15 max-mru=1418 \
max-mtu=1418
/interface ovpn-server server
set cipher=blowfish128,aes256 default-profile=l2tp enabled=yes port=443
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment="default configuration" network=\
192.168.88.0
add address=192.168.88.1/24 interface=wlan2 network=192.168.88.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
interface=ether1-gateway
/ip dhcp-server network
add gateway=192.168.88.1
add address=192.168.88.0/24 comment="default configuration" dns-server=\
192.168.88.1 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=yes
/ip firewall mangle
add action=mark-packet chain=input new-packet-mark=esp protocol=ipsec-esp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway to-addresses=0.0.0.0
add action=dst-nat chain=dstnat dst-address=192.168.88.1 dst-port=1701 \
protocol=udp src-address=10.190.100.110 src-port=1701 to-addresses=\
192.168.88.1 to-ports=1701
/ip ipsec peer
add enc-algorithm=aes-256 generate-policy=port-override hash-algorithm=md5 \
secret=123456789
/ip route
add disabled=yes distance=1 gateway=192.168.88.1
add distance=1 dst-address=80.91.185.235/32 gateway="(unknown)"
add distance=1 dst-address=192.168.88.0/24 gateway="(unknown)"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether1-gateway type=external
/ppp secret
add local-address=192.168.89.1 name=cli1 password=Qwerty123 profile=\
default-encryption remote-address=192.168.89.2 service=pptp
add local-address=192.168.89.1 name=cli2 password=Qwerty123 remote-address=\
192.168.89.2 service=l2tp
add name=cli-l2tp password=Qwerty123 profile=l2tp service=l2tp
add name=test password=test profile=default-encryption
/system clock
set time-zone-name=Europe/Kiev
/system logging
add topics=debug,ipsec,l2tp,firewall
/system ntp client
set enabled=yes mode=unicast primary-ntp=62.149.0.30 secondary-ntp=62.149.0.30
[admin@MikroTik] >


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Документацию явно не читали

это для чего?

Код: Выделить всё

add action=dst-nat chain=dstnat dst-address=192.168.88.1 dst-port=1701 \
 protocol=udp src-address=10.190.100.110 src-port=1701 to-addresses=\
 192.168.88.1 to-ports=1701


Так же ерунда в адресах и маршрутах


Есть интересная задача и бюджет? http://mikrotik.site
DeniUA
Сообщения: 21
Зарегистрирован: 21 янв 2014, 10:00

это из какой то инструкции взято, массу вариантов просто перебрал. Это удалить , что ли просто ?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Грохните весь конфиг и далее поэтапно
1. Добиться что бы на микротике был доступ в Интернет
2. Прикрутить сеть за микротиком
3. Поднять L2TP Server и убедится что подключение проходит нормально и достигнут желаемый результат
4. Потом уже разобраться c IpSec


Есть интересная задача и бюджет? http://mikrotik.site
DeniUA
Сообщения: 21
Зарегистрирован: 21 янв 2014, 10:00

я так и делал, полный сброс, конфиг по умолчанию, опускаю весь фаервол, прописывать только l2tp сервер и тишина при подключении. есть где ни будь рабочая конфигурация хотя бы без ipsec ? уже 3ю неделю мучаюсь


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

может вам проще заказать настройку микротика?


Есть интересная задача и бюджет? http://mikrotik.site
DeniUA
Сообщения: 21
Зарегистрирован: 21 янв 2014, 10:00

да самому надо знать, все таки часто приходится сталкиваться, я до этого просто микротики не щупал.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну в настройку входит консультация заказчика в рамках ТЗ


Есть интересная задача и бюджет? http://mikrotik.site
DeniUA
Сообщения: 21
Зарегистрирован: 21 янв 2014, 10:00

хорошо, сколько это будет стоить если мне надо просто поднять l2ip с ipsec для того , что бы я мог зайти с разных клиентов на микротик за которым будет DVR с камерами ?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну судя по вашему конфигу вам еще и микротик необходимо настроить


Есть интересная задача и бюджет? http://mikrotik.site
Ответить