А есть какой-то проверенный конфиг L2TP-сервера для Mikrotik?

Тема в разделе "Общий форум", создана пользователем Roman Markov, 20 авг 2021.

  1. Roman Markov

    Roman Markov Участник

    Который 100% описывает ОТДЕЛЬНУЮ конфигурацию для входящего сервера L2TP, принимающего звонки от клиентов разных ОС (Windows, MacOS, Android, IOS) и провайдеров.
    Когда обеспечивается соединение для всех, независимо от версии ОС, а также настроек шифрования на стороне клиента и пр.

    У меня уже реально глаз дёргается, когда L2TP у кого-то не соединяется, причём это наблюдается на десятках разных Микротиков. Например, Windows 7 соединяется, Windows 10 - нет.

    Конфиги разные - и с одновременными тоннелями IPSEC между офисами, и без них.

    Куча вариантов, когда у одного юзера соединяется, у другого нет.
    Человек сменил ноутбук, до этого всё соединялось, на новом перестало.

    Нереально бесит!

    Поэтому и просьба привести пример конфига, 100% описывающего каждую настройку для входящего L2TP-сервера, включая те строчки, которые при импорте конфига не указываются, считаясь дефолтными.
     
    Последнее редактирование: 20 авг 2021
  2. Roman Markov

    Roman Markov Участник

    Видимо, всё-таки только вот с этим надо плясать постоянно:


    Запустите редактор реестра (regedit) и пройдите в ветку

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters


    Создайте двоичный параметр DWORD (32) с именем ProhibitIpSec и значением 1:

    Перезагрузитесь. Попробуйте соединиться со своей сетью по VPN.

    Если не помогло, то добавьте DWORD (32):

    AllowL2TPWeakCrypto со значением 1

    Снова перезагрузитесь.


    ******

    Что значат эти записи в реестре
    Как оказалось, операционная система Windows по-умолчанию не умеет создавать подключения по L2TP без IpSec.
    То есть Windows хочет создавать L2TP тоннель только в зашифрованном соединении.
    Поэтому необходим ключ ProhibitIpSec.
    Если параметр реестра ProhibitIpSec равен 1, на компьютере под управлением Windows не создается автоматический фильтр, использующий проверку подлинности ЦС.
    Вместо этого оно проверяет локальный или политики IPSEC.
    Запись реестра AllowL2TPWeakCrypto можно использовать для включения уровня шифрования Message Digest 5 (MD5) и уровень шифрования данных DES (Encryption Standard) для Layer Two Tunneling Protocol с туннелей IPsec (L2TP/IPsec). Взято с microsoft.com
     
  3. Сочувствующий

    Сочувствующий Новый участник

    Добрый день, коллега!
    Решил не проходить мимо и помочь.
    Это вопрос про windows или про Микротик? Сервер L2TP /IPSec на Микротик включается довольно просто хоть вручную, хоть с помощью мастера настроек.
    Самый просто способ получить настроенный VPN-сервер выполнить настройку с помощью QuickSet! В нем есть блок VPN Access. (см ниже) Включив его вы активируете сервер, добавите правила в firewall, создастся отдельный пул адресов и добавится NAT правило для клиентов VPN. В итоге если QuickSet применялся к дефолтной конфигурации вы получите работающий VPN-сервер. Для начала изучения хватит.
    Не рекомендую применять QuickSet на "боевом роутере". Для получения опыта возьмите отдельный микротик. Сбросьте до заводских настроек а затем накатите QuickSet.

    upload_2021-8-25_0-16-38.png

    Пару слов про Windows. Причина может быть в том что между клиентом и вашим роутером могут быть устройства блокирующие L2TP в любом виде.
    Часто смартфон прекрасно работающий в нашей сети не может соединится, когда пользователь пытается сделать это из Польши. Почему не знаю (

    И посмотрите логи на что жалуется микотик когда к нему пытаются цепляться?
     
  4. Roman Markov

    Roman Markov Участник


    Добрый день, Капитан Очевидность!

    Спасибо за рассказ про QuickSet %о)))

    Про блокировку VPN тоже все понятно, но речь точно не про этот случай. Поэтому выше для исключения подобной версии описана ситуация с заменой одного ноутбука на другой, когда на старом только что соединялось, а на новом без накатывания фикса рееестра (см. второе сообщение) - не работает.

    Задача же заключается в том, чтобы исключить пляски на стороне клиентов, необходимость специалистам подключаться к ним удаленно и помогать вручную.
    Чтобы стандартное добавление VPN-подключения на клиентском компе работало без всяких добавлений ключей реестра и перезагрузки на всех версиях Windows от 7-ки до 10-ки.
     
  5. Сочувствующий

    Сочувствующий Новый участник

    Уважаемый Ламер ушастый!
    Спасибо, что рассказали как у Вас ничего не получается. %о)))

    Ответил на сформулированный вопрос: "просьба привести пример конфига, 100% описывающего каждую настройку для входящего L2TP-сервера, включая те строчки, которые при импорте конфига не указываются, считаясь дефолтными". При описанном мною методе получите чистый VPN сервер. Описание в WiKi и RFC, включая всё что вы хотите. Сначала изолируйте задачу, а затем займитесь отладкой как это делают взрослые мальчики, а не нойте на форумах.

    Сожалею о попытке помочь. Больше не буду.
     
    Последнее редактирование: 25 авг 2021
  6. Roman Markov

    Roman Markov Участник


    Именно такая конфигурация и создаёт описанные проблемы.
    И именно "изолировать задачу" и хочется.

    Обращался к тем, кто сталкивался с проблемой и знает, где именно у Микротика могут быть не однозначные дефолтовые настройки.

    Это была не попытка помочь, а высокомерные нравоучения.