L2TP/IPSEC параллельно с каналом IPSEC

Тема в разделе "Коммутация", создана пользователем TommyTong, 26 сен 2016.

  1. TommyTong

    TommyTong Новый участник

    Доброго всем дня.
    Настраиваю на 2011 l2tp/ipsec сервер с авторизацией по RADIUS на Windows Server.
    На данный момент работает PPTP сервер, но Apple выпилила из новых ОС не безопасные подключения, т.е. часть пользователей не может работать по PPTP удаленно.
    Зашел в PPP -> l2tp server , вписал ipsec ключ, поставил галочку Включить и дефолтпрофиль созданный ниже.
    Создал новый пул адресов для дефолтного профиля l2tp(адреса с 5-200).
    Далее профиль: ppp profile print
    Код:
    name="l2tp" local-address=192.168.2.1 remote-address=l2tp_pool
         use-mpls=default use-compression=default use-encryption=yes
         only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up="" on-down=""
    
    Далее пошел в ip ipsec:
    Код:
    ip ipsec proposal print
    Flags: X - disabled, * - default
    0  * name="default" auth-algorithms=sha1,md5 enc-algorithms=3des,des lifetime=30m pfs-group=modp768
    1    name="l2tp" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=1d pfs-group=modp1024 
    Peer
    Код:
     4    address=192.168.2.0/24 local-address=192.168.2.1 passive=yes port=500 auth-method=pre-shared-key secret="12345678" generate-policy=port-strict policy-template-group=default
          exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des dh-group=modp1024 lifetime=1d
          dpd-interval=2m dpd-maximum-failures=5
    В firewall само-собой разрешен протокол с номером 50, и открыты порты на 500, 1701, 4500

    При подключение получаю такую ошибку
    Код:
    ipsec,error 93.80.182.46 failed to pre-process ph2 packet.
    в тепличных условиях(т.е. на другом микротике внутри локальной сети) всё работает, а на смотрящем в интернет подключиться не удается. Но на этом же микротике поднят голый IPSEC туннель до другого филиала. В чем может быть проблема? Встречался ли ктонибудь с таким недугом?
    p.s. попадались гугл "решения" пересоздать дефолтную группу в ipsec. Это пробовали, конечно же не помогло.
    Благодарим всех откликнувшихся.
    Настаивалось по инструкции на wiki.mikrotik
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Будет время, попробую собрать l2tp+ipsec с айфоном...
     
  3. TommyTong

    TommyTong Новый участник

    Да дело в том, что даже c Windows не подключиться к l2tp/ipsec. Но в первом случае, лабораторном, всё чудесно работает как и с Windows так и с айфоном.
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Еще раз повторю, что не готов сходу дать ответ.
     
  5. beepost

    beepost Новый участник

    Стояла 6.28 и все работало. В мае 2016 купили hap ac с прошивкой 6.33. Настроил как обычно и все симптомы с тепличным режимом и ошибкой в реальном как у тебя. Дефолтная группа и прочее все пробовалось. Экспериментально выяснил, что начиная с прошивки 6.31 и самой старшей на конец мая 2016 выскакивает эта ошибка. После мая 2016 свежие прошивки не тестировал. Самая старшая версия на которой работает 6.30.4. Везде поставил 6.30.4. В багрепорт не писал. Просьба к авторизованным спецам, проверить и если баг есть, то просьба написать в багрепорт mikrotik. Роутеры hap ac и rb951g-2hnd. Ниже мои рабочие настройки l2tp ipsec на 6.30.4
    Код:
    /interface l2tp-server server print
    enabled:yes max-mtu:1450 max-mru:1450 mrru:disabled authentication:mschap2 keepalive-timeout:30 default-profile:l2tp use-ipsec:no ipsec-secret:
    ppp profile print
    name="l2tp" local-address=10.0.10.1 remote-address=l2tp-pool bridge=lan-bridge use-mpls=default use-compression=default use-encryption=required only-one=default change-tcp-mss=yes address-list=""
    ip ipsec policy print
    group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
    ip ipsec proposal print
    name="default" auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc lifetime=30m pfs-group=modp1024
    ip ipsec peer print
    address=0.0.0.0/0 local-address=10.0.10.1 passive=yes port=500 auth-method=pre-shared-key secret="1234567890" generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5
    ip firewall filter print
    1 chain=input action=accept protocol=udp in-interface=all-ppp port=500,1701,4500 log=no log-prefix=""
    2 chain=input action=accept protocol=ipsec-esp in-interface=all-ppp log=no log-prefix=""
    
    не знаю как напечатать вкладку action в ip ipsec policy, поэтому печатаю по пунктам
    Action:encrypt Level:require ЧекбоксTunnel:не отмечен IPSec Protocols:esp SA.Src.Address:0.0.0.0 SA.Dst.Address:0.0.0.0 Proposal:default Priority:0
    На прошивке 6.30.4 все работает и подключаются: android, ios, macosx, xp, 7,8,10, freebsd, linux(на которой ещё не выпилили presharedkey метод, на ubuntu начиная c 14.10 он вырезан с корнем)
     
    Последнее редактирование: 20 янв 2017
  6. TommyTong

    TommyTong Новый участник

    Нашел закономерность.
    Если изначально ipsec тоннель до другого офиса был построен по дефолтному proposal, тогда вероятность появления проблемы при l2tp/ipsec крайне велика. А если ipsec утащить в другой proposal, то всё работает.
    Отсюда вывод, никогда не направляйте на дефолтные профили/настройки.
     
  7. beepost

    beepost Новый участник

    Еще раз, там этот дефолт пропосал торчит в куче мест. Не понимаю, что означает изначально. Изначально он всегда на дефолт настроен. Возможно неправильно вопрос сформулировал, но я не понял как настроить? у Вас пропосал настроен на другой профиль, у меня на дефолт. Дефолтный ведь не удаляется.
    P.S. Даже когда вы конфиг удаляете, то когда вы заходите в ipsec там уже есть дефолт профиль. Я удалял конфу и настраивал через терминал не на дефолт профиль , те же яйца. Потому просьба. напечатайте все вашу конфу ppp -l2tp и ip-ipsec, и лучше даже скринами на мой e-mail всех вкладок, вымарав пароли и ip реальные. Буду очень признателен. Буду разбираться результаты вскрытия обещаю выложить и вам и в топик
    P.P.S.
    УРА! Решил проблему. Все работает /IP IPSec Group default по умолчанию и Proposal default по умолчанию. Причем создание другой группы и пропосал как раз ведет к ошибкам. Во первых в PPP L2TP server У меня НЕ отмечен чекбокс use ipsec и presharedkey там не задан. Если там отметить чекбокс и вписать presharedkey то на прошивке 6.38.1 создается динамическая политика в IP IPSEC peer которая не создавалась на версии 6.30, 6.33. Я не говорю l2tp server что будет использоваться ipsec и работаю без этой динамической политики ip ipsec peer. Если там вбить presharedkey то его оттуда не сотрешь ни в жизнь.
    Все настройки как я опубликовал выше, кроме одной. Ошибка была тут: /IP IPSec Peer local-address= Т.е. напротив local-address:пустое серое поле
    Тогда на этих настройках все работает от 6.28 до 6.38.1 и извне на внешний ip и изнутри сети и на внешний ip и на внутренний ip.
     
    Последнее редактирование: 25 янв 2017
    Илья Князев нравится это.