L2TP и микротик RB951G-2HnD

velter · 27 янв 2014, 14:13

Небольшие уточнения по описанному в топике вопросу.
Конфиг сейчас такой:

[admin@MikroTik] > export compact 
# jan/02/1970 03:08:46 by RouterOS 6.7
# software id = A8W7-7LZ0
#
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] l2mtu=2290
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys wpa-pre-shared-key=41840244ECD3 wpa2-pre-shared-key=41840244ECD3
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip pool
add name=Pool ranges=192.168.0.2-192.168.0.254
add name=l2tp-pool ranges=192.168.253.2-192.168.253.100
/ip dhcp-server
add address-pool=Pool disabled=no interface=bridge1 name=server1
/ppp profile
add change-tcp-mss=yes local-address=192.168.254.1 name=l2tp remote-address=l2tp-pool
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
add address=10.190.100.111/24 interface=ether1 network=10.190.100.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 domain=home gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24 to-addresses=0.0.0.0
/ip route
add distance=1 gateway=10.190.100.254
/ip service
set api address=0.0.0.0/0 disabled=yes
set winbox disabled=yes
/ppp secret
add name=user1 password=userpassword1 profile=l2tp service=l2tp
/system leds
set 0 interface=wlan1

То, что попробовал сделать:
1. Включаю ноут напрямую в роутер в порт WAN. На компе ставлю айпишник из той же подсети, что и ван порт роутера(10.190.100.0). L2TP сессия поднимается на ура
2. Подключаю ноут к свитчу. Микрот подключаю к тому же свитчу. Сессия L2TP поднимается
3. Подключаю ноут к точке доступа. Микрот(а конкретнее его порт WAN) подключаю кабелем к той же точке доступа, которая раздает вай-фай для ноута. Пинг на роутер с ноута есть. Сессия L2TP не поднимается с ошибкой 809 (Удаленный сервер не отвечает...). Пробовал с разными точками доступа.

Исходя из всего этого делаем вывод, что л2тп сессия не поднимается только тогда, когда между компом, поднимающим сессию и микротом есть беспроводная сеть.

Куда можно попробовать копать?

27 янв 2014, 14:50

velter писал(а):Исходя из всего этого делаем вывод, что л2тп сессия не поднимается только тогда, когда между компом, поднимающим сессию и микротом есть беспроводная сеть.

Вывод: и при чем здесь Микротик? По-моему ни при чем.

velter писал(а):Куда можно попробовать копать?

Да в принципе, все равно, куда Вы там копать соберетесь. Вы бы лучше настройки на точке доступа посмотрели, чем копать чего-то там...

velter · 27 янв 2014, 15:01

Да в принципе, все равно, куда Вы там копать соберетесь. Вы бы лучше настройки на точке доступа посмотрели, чем копать чего-то там...

Я только начал заниматься проблемой. Сегодня попробую вечером на вновь настроенной ТД и отпишусь. Ломать существующую нельзя, потому что слишком много людей юзают.

velter · 28 янв 2014, 10:16

Взял роутер ТП-Линк WR740N. Включил его. Сбросил настройки. Настроил на нем правильные сети. Подключил к ЛАН порту роутера Wan порт микротика.
Подключаю к роутеру кабелем ноутбук. Л2ТП на микрот коннектится нормально.
Настроил Ви-Фи без защиты. Подключаюсь к нему, Л2ТП сессия с ноута подключается нормально.
Настроил Ви-Фи с WPA2 Personal защитой. Л2ТП сессия подключается нормально.

Соответственно, появляется понимание того, что проблема в тех железяках, на которых это все тестировалось ранее. Однако хотелось бы разобраться, в чем конкретно она может быть.

velter · 28 янв 2014, 19:13

Собственно после тестирования l2tp подключения попытался настроить ipsec по мануалу отсюда: http://www.nasa-security.net/mikrotik/m ... ith-ipsec/
При попытке подключения получаю ошибку 789(Ошибка подключения произошедшая на уровне безопасности во время согласования с удаленным компьютером).

Конфиг

velter · 29 янв 2014, 09:30

В логах микрота в момент подключения с виндовой машины появляется следующее:

Код: Выделить всё

15:43:14 ipsec,debug,packet ========== 
15:43:14 ipsec,debug,packet 68 bytes message received from 10.190.100.110[500] to 10.190.100.111[500] 
15:43:14 ipsec,debug,packet a5f05e84 92fb61d4 c566675d 7e83da97 05100201 00000000 00000044 bb168316 
15:43:14 ipsec,debug,packet 574302b2 08c00ca2 26ecf94d 4c6826f6 32a1cd96 f4536870 1114aa3f 668417cc 
15:43:14 ipsec,debug,packet 586852e3 
15:43:14 ipsec,debug,packet malformed cookie received or the spi expired. 
15:43:20 system,info log rule added by admin 
15:43:30 ipsec,debug,packet ========== 
15:43:30 ipsec,debug,packet 68 bytes message received from 10.190.100.110[500] to 10.190.100.111[500] 
15:43:30 ipsec,debug,packet a5f05e84 92fb61d4 c566675d 7e83da97 05100201 00000000 00000044 bb168316 
15:43:30 ipsec,debug,packet 574302b2 08c00ca2 26ecf94d 4c6826f6 32a1cd96 f4536870 1114aa3f 668417cc 
15:43:30 ipsec,debug,packet 586852e3 
15:43:30 ipsec,debug,packet malformed cookie received or the spi expired. 
15:45:10 system,info,account user admin logged in via local

velter · 03 мар 2014, 11:24

Тема закрыта. От микротика отказались.

03 мар 2014, 15:00

velter писал(а):Тема закрыта. От микротика отказались.

Не Вы тему открывали, не вам и закрывать.

velter · 03 мар 2014, 15:04

podarok66 писал(а):
velter писал(а):Тема закрыта. От микротика отказались.

Не Вы тему открывали, не вам и закрывать.

Я просто коллега открывшего тему человека, которому делегировали эту задачу, когда коллега не мог в ней разобраться :)

03 мар 2014, 15:09

вы то далеко тоже не ушли :hi_hi_hi:

L2TP и микротик RB951G-2HnD

Вход • Регистрация