2blade Опубликовано 7 мая, 2015 · Жалоба Добрый день! Задача такая Есть MikroTik RB751G-2HnD Белый внешний IP 107.XXX.XXX.254 Локалка : 10.39.0.0/24 Поднят L2TP/IPSEC сервер enabled: yes max-mtu: 1450 max-mru: 1450 mrru: disabled authentication: mschap2 keepalive-timeout: 30 default-profile: vpn-encryption use-ipsec: yes ipsec-secret: 123 Профиль для удаленных пользователей "vpn-encryption" local-address=10.0.0.1 remote-address=pool_vpn use-mpls=default use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list="" Диапазон выдаваемых адресов "pool_vpn" ranges=10.0.0.50-10.0.0.100 interface bridge set 0 arp=proxy-arp IPSEC peer создается автоматом с параметром "generate-policy=port-strict" D address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-strict policy-template-group=default exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-128,aes-192,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5 В firewall chain=input action=accept protocol=udp port=1701,500,4500 chain=input protocol=ipsec-esp При попытке подключения выходит ошибка 809 и не подключается НО в Policies создается: D src-address=85.YYY.YYY.YYY/32 src-port=55877 dst-address=107.XXX.XXX.254/32 dst-port=1701 protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=85.YYY.YYY.YYY sa-dst-address=107.XXX.XXX.254 priority=2 В InstalledSAs создается: Flags: A - AH, E - ESP 0 E spi=0xA17FDD7 src-address=85.YYY.YYY.YYY:55877 dst-address=107.XXX.XXX.254:4500 state=mature auth-algorithm=sha1 enc-algorithm=3des auth-key="e44da053c5870d19fgc50f7d7ef97187eaa31e1f" enc-key="c0b665426dab8898d30cfg86c47c4c4df3e25897d5bab9ec" addtime=may/07/2015 11:29:19 expires-in=32m1s add-lifetime=48m/1h current-bytes=648 replay=4 НО если создан ipsec peer вручную с параметром "generate-policy=port-override" Все отлично работает L2TP VPN address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=12h dpd-interval=2m dpd-maximum-failures=5 И еще один вопрос Если не указывать в настройках клиента "pre-shared-key" соединение поднимается но с шифрованием "MPPE128 stateless" Как настроить что бы соединение не поднималось если не указан "pre-shared-key" ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...