L2TP/IPSec

Обсуждение оборудования и его настройки
Ответить
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

Подскажите плиз как побороть проблему Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено
Настраивал по ману

Настройка L2TP

Создадим еще один пул IP адресов из той-же подсети, который будет использоваться для VPN клиентов:

/ip pool add name=lan_vpn ranges=10.20.0.200-10.20.0.254

Создайте новый PPP профиль:

/ppp profile add name=l2tp-vpn-lan local-address=10.20.0.1 \
remote-address=lan-vpn dns-server=10.20.0.1

Включите L2TP сервер. Для наших целей достаточно только метода аутентификации mschap2.

/interface l2tp-server server set enabled=yes authentication=mschap2 \
default-profile=l2tp-vpn-lan

Создайте пользователя:

/ppp secret add name=userlogin password=userpassword service=l2tp \
profile=l2tp-vpn-lan

Настройка IPSec

Созадем ipsec peer:

/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key \
secret="shared_password_key" exchange-mode=main-l2tp send-initial-contact=yes \
nat-traversal=yes proposal-check=obey hash-algorithm=sha1 \
enc-algorithm=3des dh-group=modp1024 generate-policy=yes \
lifetime="1d 00:00:00" dpd-interval=120 dpd-maximum-failures=5

Некоторые разъяснения:

address=0.0.0.0/0 - разрешаем подключение с любого IP адреса;
auth-method=pre-shared-key - аутентификация компьютера с помощью общего ключа;
secret="shared_password_key" - пароль общего ключа;

Созадем ipsec proposal

/ip ipsec proposal set default auth-algorithms=sha1 \
enc-algorithms=3des,aes-256 lifetime=30m pfs-group=


Vladislav_A
Сообщения: 71
Зарегистрирован: 27 ноя 2012, 17:30

Каую именно проблему?
Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено?
Если несколько клиентов находятся за NAT, но при этом у них разный внешний IP - нет проблем, все работает.
А если имеется ввиду "несколько клиентов находятся за одним общим NAT" - то тут уже ничем не поможешь.
Это особенность работы данного VPN через NAT


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

при поднятом l2tp ipsec encoding MPPE128 stateles, а должен быть cbc(des3_ede) + hmac(sha1) ,кто сталкивался подскажите мои настройки

/ppp profile
add change-tcp-mss=yes name=profile_vpn only-one=yes use-encryption=required

/interface l2tp-client
add add-default-route=no allow=mschap2 connect-to=91.xxx.xxx.140 \
dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=\
1450 mrru=disabled name=l2tp-out password=1234567890 profile=profile_vpn \
user=test

/ip firewall filter
add chain=input comment=l2tp dst-port=500,4500,1701 protocol=udp
add chain=input comment=ipsec protocol=ipsec-esp

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des

/ip ipsec peer
add address=91.xxx.xxx.140/32 enc-algorithm=3des exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=uygefwehrvjpoew


corbenSG
Сообщения: 1
Зарегистрирован: 01 фев 2017, 12:13

Подниму старую тему.
Вроде как с прошивки 38 (http://tuncis.mt.lv/viewtopic.php?t=112 ... 69#p566926) появилась возможность что бы несколько пользователей за натом могли подключиться l2tp/ipsec.
я так понял что нужно параметр generate-policy: port-strict.
Но не взелетело. Может кто подскажет как быть?


Serafimko
Сообщения: 28
Зарегистрирован: 09 янв 2017, 11:39

У меня аналогичная проблема
generate-policy: port-strict.
и все равно только один клиент за NAT может подключится.
Может и правда есть выход?


k0t
Сообщения: 2
Зарегистрирован: 08 фев 2017, 12:27

Есть кто нибудь, кому удалось победить проблему? У меня на прошивке 6.38.1 проблема проявляется в полный рост. В микротиках я новичек, может нужно что-то дополнительно включить? Или может прошивку все же использовать другую, а то я совсем запутался в ихних changelog


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

k0t писал(а):Есть кто нибудь, кому удалось победить проблему? У меня на прошивке 6.38.1 проблема проявляется в полный рост. В микротиках я новичек, может нужно что-то дополнительно включить? Или может прошивку все же использовать другую, а то я совсем запутался в ихних changelog

Ну пройдитесь же по Интернету, вот с официального форума Микротика,
http://forum.mikrotik.com/viewtopic.php?f=2&t=103792&p=582032&hilit=L2TP+NAT#p582032
Прочтите ответ ТехПоддержки (третье сообщение).

На счёт прошивок, а что в них путаться,есть три линейки прошивок:
это бета - это Release candidate
есть текущая с новыми функциями и так далее - это Current
и есть стабильная с постоянными исправлениями - это Bugfix only
Каждый админ сам выбирает свой путь(какую линейку прошивок использовать), но где-то хочется и что-то новое пощупать, поэтому и Release candidate не грех потрогать,
понятно, что если оборудование обслуживает коммерческую компанию и требуется стабильность, новых задач не много, то проще сидеть на Bugfix only,
ну а в целом всем и большинству остальным пойдёт Current
(всё что я написал, лишь моё видение).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
k0t
Сообщения: 2
Зарегистрирован: 08 фев 2017, 12:27

Vlad-2 писал(а):Ну пройдитесь же по Интернету, вот с официального форума Микротика,
http://forum.mikrotik.com/viewtopic.php?f=2&t=103792&p=582032&hilit=L2TP+NAT#p582032
Прочтите ответ ТехПоддержки (третье сообщение).

Спасибо, что направили меня в нужном направлении, но:
ответ ТехПоддержки из третьего сообщения устарел (Feb 04, 2016)
в седьмом сообщении ТехПоддержка говорит что такое теперь возможно, а как это сделать - мне не совсем понятно. Чуваку из восьмого сообщения того же форума тоже ничего не понятно.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

в любом случаи
1) ждать ROS v7
2) стандартно и без шаманства тут ни как не решить проблему
3) если было бы работающее решение, думаю уже было бы где-то описание
отсюда следует что надо менять задачу и условие и слегка его модифицировать.

У моего коллеги была похожая проблема, решили не идеально, но второго клиента
загнали (запустили) через другой протокол, через тот же РРТР, так что за НАТом,
при использовании разных типов подключения - можно работать....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить