Проблема с L2TP Site-to-Site между RB951G-2HnD и TMG2010

Обсуждение оборудования и его настройки
Ответить
aw1985
Сообщения: 2
Зарегистрирован: 02 мар 2014, 14:20

Добрый день!

Почти неделю не получается настроить туннель между RB951G-2HnD и TMG2010.
Как маршрутизатор, точка доступа, SMB и FTP - работает всё отлично. C VPN - беда!

Со стороны TMG точно всё в порядке, настройки на нём буквально стандартные, для всех ранее поднятых туннелей.

Делал согласно инструкциям с Wiki, с прочих сайтов, с видео-уроков на youtub'е - всё бестолку, уже просто не понимаю в чём проблема.

Пожалуйста, подскажите где ошибка? Или может нехватает чего?
Конфиг:
 "/export compact"
[admin@MikroTik] > /export compact
# mar/02/2014 17:30:41 by RouterOS 5.26
# software id = XT61-QYXM
#
/interface bridge
add admin-mac=D4:CA:6D:19:2A:35 arp=proxy-arp auto-mac=no l2mtu=1598 name=bridge-local protocol-mode=rstp
/interface wireless
set 0 arp=proxy-arp band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=no distance=indoors \
ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge wireless-protocol=802.11
/interface ethernet
set 0 name=wan
set 1 arp=proxy-arp name=ether2-master-local
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/interface l2tp-client
add allow=mschap2 connect-to=95.211.176.201 dial-on-demand=yes disabled=no name=l2tp-out2 password=******* user=\
"KRLP003\\l2tp-user1"
/interface l2tp-server
add name=l2tp-in1 user=l2tp-user1
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys \
unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key="*******" wpa2-pre-shared-key="*******"
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=lan-dhcp ranges=192.168.88.100-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
/ppp profile
add name=mikrotik only-one=yes use-compression=yes use-encryption=yes use-vj-compression=yes
add name=profile1 use-compression=yes use-encryption=required
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface l2tp-server server
set authentication=mschap2 enabled=yes
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=wlan1
add address=95.131.177.50/30 interface=wan
/ip dhcp-client
add comment="default configuration" interface=wan
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=95.131.176.2,95.131.179.254
/ip dns static
add address=192.168.88.1 name=router
/ip firewall address-list
add address=192.168.88.0/24 list=inet
/ip firewall filter
add chain=output comment="accept all outbound"
add chain=input comment=icmp protocol=icmp
add chain=input comment="remote admin from office" protocol=tcp src-address=5.61.11.34
add chain=input comment="remote admin from k1" protocol=tcp src-address=95.211.37.26
add chain=input comment="remote admin from tmgusa" protocol=tcp src-address=95.211.37.27
add chain=input comment="remote admin from k3" protocol=tcp src-address=95.211.176.201
add chain=input comment="allow remote access for admkucherovsky" protocol=tcp src-address=93.157.169.13
add chain=input comment=gre protocol=gre
add chain=input comment="ipsec udp 500 dst port" dst-port=500 protocol=udp
add chain=input comment="ipsec udp 1701" dst-port=1701 protocol=udp
add chain=input comment="ipsec upd 4500 nat-traversal" dst-port=4500 protocol=udp
add chain=input comment=esp protocol=ipsec-esp
add chain=forward comment="forward to ip-camera" dst-address=192.168.88.108 dst-port=80 in-interface=!wan protocol=tcp
add chain=input comment=established connection-state=established
add chain=input comment=related connection-state=related
add chain=input comment=manage in-interface=bridge-local
add action=drop chain=input comment="all other drop" in-interface=wan
add action=drop chain=forward comment="drop invalid connection packets" connection-state=invalid
add chain=forward comment="allow established connections" connection-state=established
add chain=forward comment="allow related connections" connection-state=related
add action=drop chain=forward comment="all other drop"
add chain=forward comment="allow acess to internet" in-interface=bridge-local out-interface=wan src-address-list=inet
/ip firewall nat
add chain=srcnat src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment="forward to ip-camera" dst-port=10801 protocol=tcp to-addresses=192.168.88.108 \
to-ports=80
add action=masquerade chain=srcnat out-interface=wan to-addresses=0.0.0.0
add action=masquerade chain=srcnat disabled=yes out-interface=l2tp-out1
/ip ipsec peer
add address=95.211.176.201/32 exchange-mode=main-l2tp generate-policy=yes hash-algorithm=sha1 nat-traversal=yes secret=\
"*******"
/ip ipsec policy
add dst-address=95.131.177.50/32 dst-port=1701 sa-dst-address=95.211.176.201 sa-src-address=95.131.177.50 src-address=\
95.211.176.201/32 src-port=1701 tunnel=yes
add dst-address=95.211.176.201/32 dst-port=1701 sa-dst-address=95.131.211.50 sa-src-address=95.211.176.201 src-address=\
95.131.177.50/32 src-port=1701 tunnel=yes
/ip neighbor discovery
set wan disabled=yes
set wlan1 disabled=yes
/ip route
add comment=isp distance=2 gateway=95.131.177.49
add distance=1 dst-address=10.10.10.0/24 gateway=l2tp-out1
/ip service
set ftp address=0.0.0.0/0
/ip smb
set allow-guests=no domain=NFT enabled=yes
/ip smb shares
add directory=/usb1 name=share1
/ip smb users
add name=mikrosmb password=******* read-only=no
/ppp secret
add local-address=192.168.88.1 name=l2tp-user1 password=******* profile=profile1 remote-address=10.8.8.1 service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system clock manual
set dst-delta=+04:00 time-zone=+04:00
/system leds
set 0 interface=wlan1
/tool mac-server
add disabled=no interface=ether2-master-local
add disabled=no interface=ether3-slave-local
add disabled=no interface=ether4-slave-local
add disabled=no interface=ether5-slave-local
add disabled=no interface=wlan1
add disabled=no interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
[admin@MikroTik] >


aw1985
Сообщения: 2
Зарегистрирован: 02 мар 2014, 14:20

Коллеги, ну неужели никто не делал связку TMG с MikroTik'ом?
Столько просмотров и ни одного ответа :(


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

У меня есть машина и мне надо приехать в МСК
Все хорошо, колеса круглые, стеклоподъемники открываются
Но не едет
Но с МСК тоже все хорошо, туда же приезжают и уезжают.
Вот картинка машины. В чем проблема?

Если вы ответите на мой вопрос, то я отвечу на ваш.


Есть интересная задача и бюджет? http://mikrotik.site
Илья Никаноров
Сообщения: 4
Зарегистрирован: 15 авг 2013, 18:26

А почему все так стороной обходят решение на TMG? Как заявляет автор топика, в сети полно инструкций, но я увидел только одну более менее реальную тему с законченным решением на оборудовании mikrotik и TMG. Сегодня сел с утра и часа через два получил вполне работающий туннель IPSec. Был один затык, пока остался не ясным для меня. Если тема актуальна готов принять активное участие, пока не разобрал.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

TMG ушло в прошлое уж как несколько лет тому назад


Есть интересная задача и бюджет? http://mikrotik.site
Илья Никаноров
Сообщения: 4
Зарегистрирован: 15 авг 2013, 18:26

Я не был бы так категоричен, да, за TMG нет будущего, до 2020 года поддержка TMG никуда не денется. А вот то, что микротик займет эту нишу я бы еще сильно поспорил. Есть некоторые но, которые не позволяют закупать микротики в госсектор.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну как только появятся сертификаты и гос сектор закупать сможет. Сейчас в основном циску используют

Ну и я не сравниваю ТМГ и микротик. Совершенно 2 разных продукта. Но ТМГ это такой неповоротливый монстр от которого Майкрософт спит и видит как бы наконец избавится. В общем весьма неудачный продукт у них получился. Тот же керио на порядок шустрее и меньше хлопот доставляет


Есть интересная задача и бюджет? http://mikrotik.site
megamuz
Сообщения: 5
Зарегистрирован: 18 окт 2014, 22:38

Дайте ссылку на тот мануал пытаюсь на работе поднять уже все перелазил, ну никак не заводится ВПН (


Илья Никаноров
Сообщения: 4
Зарегистрирован: 15 авг 2013, 18:26

Вот тебе ссылка на мануал. http://forum.ixbt.com/topic.cgi?id=14:60862
Я застрял на моменте соединения из за TMG, за микротик, все видно.


Ответить