помогите разобраться с настройкой l2tp

[andy777]

не так давно приобрел старенький rb2011UiAS-2HnD для работы, ну и на поиграться. хоть и старенький - но достойная игрушка. за пару дней чтения мануалов и ковыряния в настройках заставил его работать как мне нужно за небольшим исключением - не могу подключиться к l2tp, хоть тресни. в логах одна и таже ошибка - ISAKMP-SA deleted. по куче сообщений на разных форумах - выскакивает при попытке подключения второго клиента, но у меня то и первый не может подключиться, при проблемах с сетью - но нет у меня никаких проблем (разве что у ростелекома какая засада), ну и последнее самое вероятное - ошибка в настройке :( прошивка 6.49.15 (stable), белый адрес от ростелекома. и кстати, sstp тоже не удалось завести. по итогу работает только pptp :( может кто направит в нужном направлении?

[Erik_U]

( может кто направит в нужном направлении?

-> RoS 7.14.3 -> Wireguard
например

А почему у вас что-то не работает сказать не получится. Мало информации. Попробуйте правила, написанные выше выполнить.

[andy777]

-> RoS 7.14.3 -> Wireguard
например

А почему у вас что-то не работает сказать не получится. Мало информации. Попробуйте правила, написанные выше выполнить.

wireguard у меня работает на дебиане, но хотелось бы именно sstp или l2tp и на головной железяке.
необходимая инфа

 конфиг

[andy@MikroTik] > /export hide-sensitive
# may/17/2024 08:48:10 by RouterOS 6.49.15
# software id = HPVM-53Z2
#
# model = 2011UAS-2HnD
# serial number = 419E0208D67B
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\
20/40mhz-XX country=no_country_set disabled=no distance=indoors frequency=\
auto frequency-mode=manual-txpower installation=indoor mode=ap-bridge ssid=\
MikroTik-A11183 station-roaming=enabled wireless-protocol=802.11
/interface bridge
add admin-mac=D4:CA:6D:A1:11:7A auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] comment="link Rostelecom"
set [ find default-name=ether2 ] comment="link pve"
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-128-cbc
/ip pool
add name=default-dhcp ranges=192.168.0.10-192.168.0.69
add name=vpn ranges=192.168.0.100-192.168.0.110
add name=vpn-1 ranges=192.168.89.100-192.168.89.110
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *0 dns-server=192.168.0.1,8.8.8.8 local-address=192.168.0.1 only-one=no \
remote-address=vpn use-encryption=yes use-upnp=no
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn-1
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 max-sessions=10 use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pppoe-server server
add authentication=mschap2 disabled=no interface=ether1 max-mru=1480 max-mtu=\
1480 service-name=pppoe-servis
/interface pptp-server server
set authentication=mschap2 default-profile=default enabled=yes
/interface sstp-server server
set authentication=mschap2 enabled=yes
/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0
add address=192.168.1.2 interface=ether5 network=255.255.255.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf dns-server=192.168.0.1,8.8.8.8 \
gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=192.168.0.1,8.8.8.8
/ip dns static
add address=192.168.0.80 name=router.lan
/ip firewall address-list
add address=*.*.*.* list=admin
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec NAT, IKE, l2tp" dst-port=\
1701,500,4500 in-interface=ether1 protocol=udp
add action=accept chain=input comment="allow ipsec-esp" in-interface=ether1 \
protocol=ipsec-esp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow ssh,WinBox" dst-port=22,8291 \
protocol=tcp src-address=*.*.*.*
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=dstnat comment="Forward vpn to 192.168.0.70" \
connection-nat-state="" connection-state="" dst-address=192.168.0.70 \
dst-port=51844 in-interface=ether1 out-interface=bridge protocol=udp \
src-port=51844
add action=accept chain=dstnat comment="Forward ssh to 192.168.0.70" \
dst-address=192.168.0.70 dst-port=22 in-interface=ether1 out-interface=\
bridge protocol=tcp src-port=22022
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.0.0/24
add action=dst-nat chain=dstnat comment="vpn wireguard" dst-port=51844 \
in-interface=ether1 protocol=udp to-addresses=192.168.0.70 to-ports=51844
add action=dst-nat chain=dstnat comment="ssh pve" dst-port=22022 in-interface=\
ether1 protocol=tcp to-addresses=192.168.0.70 to-ports=22
/ip firewall service-port
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip service
set telnet address=192.168.0.0/24
set ftp disabled=yes
set www address=192.168.0.0/24
set ssh address=0.0.0.0/0
set api address=192.168.0.0/24
set winbox address=192.168.0.0/24,192.168.1.0/24,*.*.*.*
set api-ssl address=192.168.0.0/24
/lcd
set enabled=no touch-screen=disabled
/lcd interface pages
set 0 interfaces=wlan1
/ppp l2tp-secret
add
/ppp secret
add comment="test client" name=vpn
add name=***** service=pptp
add name=***** service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=sstp
/system ntp client
set enabled=yes primary-ntp=88.147.254.227
/system package update
set channel=upgrade
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[andy@MikroTik] >

замечания и критика приветствуются

[Erik_U]

для начала выключите IPSEC
попробуйте без него

Для того, чтобы IPSEC на винде заработал, нужно реестр править. Вы это делали?
https://winitpro.ru/index.php/2017/10/2 ... ru-za-nat/
или
https://moonback.ru/page/l2tp-error-789

[andy777]

для начала выключите IPSEC
попробуйте без него

Для того, чтобы IPSEC на винде заработал, нужно реестр править. Вы это делали?
https://winitpro.ru/index.php/2017/10/2 ... ru-za-nat/
или
https://moonback.ru/page/l2tp-error-789

первый вариант настройки был без ipsec - но подключиться не удалось. то что в винде надо реестр править для включения ipsec впервые слышу - ну так я больше с юниксами дружу. сейчас попробуем.
сообщение об ошибке изменилось - началась ругань что нет ответа от впн сервера. мда. если надо править реестр - то ну его нафиг, я себе поправлю - но обьяснять другим - ну его нафиг... останемся пока на pptp