Перейти к содержимому
Калькуляторы

L2TP сервер Несколько вопросов по настройке

Ответить

2blade   

2blade
Опубликовано · Жалоба

Добрый день!

Задача такая

 

Есть MikroTik RB751G-2HnD

Белый внешний IP 107.XXX.XXX.254

Локалка : 10.39.0.0/24

 

Поднят L2TP/IPSEC сервер

enabled: yes

max-mtu: 1450

max-mru: 1450

mrru: disabled

authentication: mschap2

keepalive-timeout: 30

default-profile: vpn-encryption

use-ipsec: yes

ipsec-secret: 123

 

Профиль для удаленных пользователей

"vpn-encryption" local-address=10.0.0.1 remote-address=pool_vpn use-mpls=default use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list=""

 

Диапазон выдаваемых адресов

"pool_vpn" ranges=10.0.0.50-10.0.0.100

 

interface bridge set 0 arp=proxy-arp

 

IPSEC peer создается автоматом с параметром "generate-policy=port-strict"

 

D address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-strict policy-template-group=default exchange-mode=main-l2tp

send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-128,aes-192,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

 

В firewall

chain=input action=accept protocol=udp port=1701,500,4500

chain=input protocol=ipsec-esp

 

При попытке подключения выходит ошибка 809 и не подключается

 

НО в Policies создается:

D src-address=85.YYY.YYY.YYY/32 src-port=55877 dst-address=107.XXX.XXX.254/32 dst-port=1701 protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=85.YYY.YYY.YYY sa-dst-address=107.XXX.XXX.254 priority=2

 

В InstalledSAs создается:

Flags: A - AH, E - ESP

0 E spi=0xA17FDD7 src-address=85.YYY.YYY.YYY:55877

dst-address=107.XXX.XXX.254:4500 state=mature auth-algorithm=sha1

enc-algorithm=3des auth-key="e44da053c5870d19fgc50f7d7ef97187eaa31e1f"

enc-key="c0b665426dab8898d30cfg86c47c4c4df3e25897d5bab9ec"

addtime=may/07/2015 11:29:19 expires-in=32m1s add-lifetime=48m/1h

current-bytes=648 replay=4

 

 

НО если создан ipsec peer вручную с параметром "generate-policy=port-override" Все отлично работает

L2TP VPN

address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp

send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=12h dpd-interval=2m dpd-maximum-failures=5

 

 

И еще один вопрос

Если не указывать в настройках клиента "pre-shared-key" соединение поднимается но с шифрованием "MPPE128 stateless"

 

Как настроить что бы соединение не поднималось если не указан "pre-shared-key" ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Mikrotik Wireless