Добрый день, коллеги
Столкнулся сегодня со странной штукой о которой раньше только слышал
Подключал подразделение к центральному офису.
В подразделениях стоят микротики (hap ac2) и в центральном офисе стоит микротик (rb3011). на всех предпоследние long-term прошивки.
В центральном офисе подняты L2TP VPN серверы и SSTP VPN серверы.
Подключено 24/7 некоторое количество подразделений и по L2TP+IPSEC и по SSTP.
SSTP не нравится своей тормознутостью (макс 10мбит), нравится тем, что всегда и везде работает, поэтому всегда начинают подключать канал по L2TP + IPSEC, а если не получается, то уже SSTP.
в подразделениях обычно 2 канала с резервированием (4g модем Мегафон) и проводная связь.
на модеме и канале L2TP+IPSEC, всё работает отлично, как и во всех подразделениях. настройки все аналогичные и одинаковые везде.
проблемы начались при подключение нового провайдера по оптике (ДОМ.РУ в Ростове-на-Дону) с которым раньше не работал.
никаких настроек не менял, просто переключил канал и подключение не поднялось.
в логах на обоих сторонах вот такие ошибки (скриншот1)
Если отключить в настройках PPP клиента IPSEC (снять галочку с Use IPSEC) и на центральном микротике разрешить подключение без IPSEC - то всё работает.
то есть проблема именно в IPSEC
попробовал ради интереса по SSTP - работает
в файрволе правила для IPSEC прописаны (порты 1701, 500, 4500 открыты)
попробовал поиграться с MTU на VPN интерфейсе - ставил и 1300 и 1200 (1300 у меня на центральном прописано, ибо уже с какого-то провайдера в подразделении L2TP работал с проблемами) - результата нет
провайдеру позвонил - рассказал эту грустную историю, сказали, что будут разбираться - но, боюсь, что результата не будет
такое ощущение, что как будто провайдер блокирует IPSEC трафик, но не признаётся в этом
может быть что-то ещё можно подкрутить?
export параметров
export hide-sensitive
# jun/18/2021 19:49:48 by RouterOS 6.47.10
# software id = EB8N-IFW7
#
# model = RBD52G-5HacD2HnD
# serial number = C6140DEC2822
/interface bridge
add comment="\C3\EE\F1\F2\E5\E2\E0\FF \F1\E5\F2\FC" name=bridge-guest-wifi
add admin-mac=64:D1:54:A4:68:A1 auto-mac=no comment=\
"\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\F2\FC" name=bridge-local
/interface ethernet
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether1 ] name=inet1 speed=100Mbps
/interface l2tp-client
add allow=mschap2 comment=\
"*************" \
connect-to=************ disabled=no max-mru=1480 max-mtu=1480 name=\
************* user=**********
/interface lte
set [ find ] name=lte1
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=inet-list
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-key-update=1h \
management-protection=allowed mode=dynamic-keys name=profile-wifi-staff \
supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" group-key-update=1h \
management-protection=allowed mode=dynamic-keys name=profile-wifi-guest \
supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\
20/40mhz-XX country="united states" disabled=no distance=indoors frequency=\
auto frequency-mode=manual-txpower mode=ap-bridge name=wlan2g-staff \
security-profile=profile-wifi-staff ssid=WF_SS_2G_Staff wireless-protocol=\
802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
country="united states" disabled=no frequency=auto mode=ap-bridge name=\
wlan5g-staff security-profile=profile-wifi-staff ssid=WF_SS_5G_Staff \
wps-mode=disabled
add arp=reply-only default-forwarding=no disabled=no keepalive-frames=disabled \
mac-address=4A:8F:5A:6C:B3:37 master-interface=wlan2g-staff \
multicast-buffering=disabled name=wlan2g-guest security-profile=\
profile-wifi-guest ssid=WF_SS_2G_Guest wds-cost-range=0 wds-default-cost=0 \
wps-mode=disabled
add arp=reply-only default-forwarding=no disabled=no keepalive-frames=disabled \
mac-address=4A:8F:5A:6C:B3:38 master-interface=wlan5g-staff \
multicast-buffering=disabled name=wlan5g-guest security-profile=\
profile-wifi-guest ssid=WF_SS_5G_Guest wds-cost-range=0 wds-default-cost=0 \
wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,3des
/ip pool
add name=dhcp-local-pool ranges=192.168.14.100-192.168.14.150
add name=dhcp-guest-pool ranges=10.207.14.100-10.207.14.200
/ip dhcp-server
add address-pool=dhcp-guest-pool disabled=no interface=bridge-guest-wifi \
lease-time=1h name=dhcp-wifi-guest
add address-pool=dhcp-local-pool disabled=no interface=bridge-local lease-time=\
1h name=dhcp-local
/interface sstp-client
add authentication=mschap2 certificate=*********.crt_0 comment=\
"*******************" \
connect-to=************ name=************ profile=\
default-encryption user=********** verify-server-address-from-certificate=\
no
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan2g-staff
add bridge=bridge-local interface=wlan5g-staff
add bridge=bridge-guest-wifi interface=wlan2g-guest
add bridge=bridge-guest-wifi interface=wlan5g-guest
/interface list member
add interface=inet1 list=inet-list
add interface=lte1 list=inet-list
/ip address
add address=10.207.14.1/24 comment="**************" \
interface=bridge-guest-wifi network=10.207.14.0
add address=192.168.14.1/24 comment="***************" \
interface=bridge-local network=192.168.14.0
add address=**********/24 comment="**************" interface=inet1 \
network=************
/ip dhcp-server network
add address=10.207.14.0/24 dns-server=10.207.14.1 gateway=10.207.14.1
add address=192.168.14.0/24 dns-server=192.168.14.1 gateway=192.168.14.1
/ip dns
set allow-remote-requests=yes servers=109.195.224.1,5.3.3.3
/ip dns static
add address=192.168.3.5 name=*********
add address=192.168.3.7 name=*******
/ip firewall filter
add action=fasttrack-connection chain=forward comment=Fasttrack \
connection-state=established,related disabled=yes
add action=accept chain=forward disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward disabled=yes ipsec-policy=out,ipsec
add action=accept chain=input comment="Access WINBOX" dst-port=****** protocol=\
tcp
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \F2\F0\
\E0\F4\E8\EA\E0 \EE\F2 \C3\EE\F1\F2\E5\E2\EE\E9 wifi \F1\E5\F2\E8 \E2 \E8\ED\
\F2\E5\F0\ED\E5\F2 (forward)" in-interface=bridge-guest-wifi \
out-interface-list=inet-list
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 DNS \F2\F0\
\E0\F4\E8\EA\E0 \EE\F2 \C3\EE\F1\F2\E5\E2\EE\E9 wifi \F1\E5\F2\E8 \EA \F0\EE\
\F3\F2\E5\F0\F3 (input)" dst-port=53 in-interface=bridge-guest-wifi \
protocol=udp
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="Access WINBOX" dst-port=***** protocol=\
tcp
add action=accept chain=input comment="Accept IPSEC" disabled=yes protocol=\
ipsec-esp src-address-list=""
add action=accept chain=input comment="Accept SSTP" dst-port=443 protocol=tcp
add action=accept chain=input comment="Accept L2TP, IPSEC" dst-port=\
1701,500,4500 protocol=udp
add action=accept chain=input comment="Accept established,related - Input" \
connection-state=established,related
add action=accept chain=forward comment="Accept established,related - Forward" \
connection-state=established,related
add action=drop chain=input comment="Drop invalid - Input" connection-state=\
invalid
add action=drop chain=forward comment=\
"Drop all from WAN not DSTNATed - Forward" connection-nat-state=!dstnat \
connection-state=new in-interface-list=inet-list
add action=drop chain=forward comment="\C7\E0\EF\F0\E5\F2 \F2\F0\E0\F4\E8\EA\E0 \
\E8\E7 \E3\EE\F1\F2\E5\E2\EE\E9 WIFI \F1\E5\F2\E8 \E2 \EB\EE\EA\E0\EB\FC\ED\
\F3\FE" dst-address=192.168.0.0/16 src-address=10.207.14.0/24
add action=drop chain=forward comment="Drop invalid - Forward" \
connection-state=invalid
add action=drop chain=input comment="Drop all from WAN" in-interface=\
!bridge-local
/ip firewall nat
add action=masquerade chain=srcnat comment=\
"\C8\ED\F2\E5\F0\ED\E5\F2 NAT \ED\E0 inet1" out-interface-list=inet-list
/ip ipsec policy
set 0 group=group1
/ip route
add distance=1 gateway=176.213.140.254
add distance=1 dst-address=10.189.3.0/24 gateway=10.189.3.100
add comment="\CC\E0\F0\F8\F0\F3\F2 \D1\F2\F0\E0\ED\FB\D1\EE\E2\E5\F2\EE\E2 - \CE\
\F4\E8\F1 \CC\E5\F2\EA\EE\EC" distance=1 dst-address=192.168.3.0/24 \
gateway=10.189.3.100 pref-src=192.168.14.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=******
set api-ssl disabled=yes
/system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT+3
/system identity
set name="*********"