Jump to content
Калькуляторы

L2TP сервер Несколько вопросов по настройке

Добрый день!

Задача такая

 

Есть MikroTik RB751G-2HnD

Белый внешний IP 107.XXX.XXX.254

Локалка : 10.39.0.0/24

 

Поднят L2TP/IPSEC сервер

enabled: yes

max-mtu: 1450

max-mru: 1450

mrru: disabled

authentication: mschap2

keepalive-timeout: 30

default-profile: vpn-encryption

use-ipsec: yes

ipsec-secret: 123

 

Профиль для удаленных пользователей

"vpn-encryption" local-address=10.0.0.1 remote-address=pool_vpn use-mpls=default use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list=""

 

Диапазон выдаваемых адресов

"pool_vpn" ranges=10.0.0.50-10.0.0.100

 

interface bridge set 0 arp=proxy-arp

 

IPSEC peer создается автоматом с параметром "generate-policy=port-strict"

 

D address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-strict policy-template-group=default exchange-mode=main-l2tp

send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-128,aes-192,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

 

В firewall

chain=input action=accept protocol=udp port=1701,500,4500

chain=input protocol=ipsec-esp

 

При попытке подключения выходит ошибка 809 и не подключается

 

НО в Policies создается:

D src-address=85.YYY.YYY.YYY/32 src-port=55877 dst-address=107.XXX.XXX.254/32 dst-port=1701 protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=85.YYY.YYY.YYY sa-dst-address=107.XXX.XXX.254 priority=2

 

В InstalledSAs создается:

Flags: A - AH, E - ESP

0 E spi=0xA17FDD7 src-address=85.YYY.YYY.YYY:55877

dst-address=107.XXX.XXX.254:4500 state=mature auth-algorithm=sha1

enc-algorithm=3des auth-key="e44da053c5870d19fgc50f7d7ef97187eaa31e1f"

enc-key="c0b665426dab8898d30cfg86c47c4c4df3e25897d5bab9ec"

addtime=may/07/2015 11:29:19 expires-in=32m1s add-lifetime=48m/1h

current-bytes=648 replay=4

 

 

НО если создан ipsec peer вручную с параметром "generate-policy=port-override" Все отлично работает

L2TP VPN

address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp

send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=12h dpd-interval=2m dpd-maximum-failures=5

 

 

И еще один вопрос

Если не указывать в настройках клиента "pre-shared-key" соединение поднимается но с шифрованием "MPPE128 stateless"

 

Как настроить что бы соединение не поднималось если не указан "pre-shared-key" ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this