Jump to content

L2TP сервер Несколько вопросов по настройке

Добрый день!

Задача такая


Есть MikroTik RB751G-2HnD

Белый внешний IP 107.XXX.XXX.254

Локалка :


Поднят L2TP/IPSEC сервер

enabled: yes

max-mtu: 1450

max-mru: 1450

mrru: disabled

authentication: mschap2

keepalive-timeout: 30

default-profile: vpn-encryption

use-ipsec: yes

ipsec-secret: 123


Профиль для удаленных пользователей

"vpn-encryption" local-address= remote-address=pool_vpn use-mpls=default use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list=""


Диапазон выдаваемых адресов

"pool_vpn" ranges=


interface bridge set 0 arp=proxy-arp


IPSEC peer создается автоматом с параметром "generate-policy=port-strict"


D address= local-address= passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-strict policy-template-group=default exchange-mode=main-l2tp

send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-128,aes-192,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5


В firewall

chain=input action=accept protocol=udp port=1701,500,4500

chain=input protocol=ipsec-esp


При попытке подключения выходит ошибка 809 и не подключается


НО в Policies создается:

D src-address=85.YYY.YYY.YYY/32 src-port=55877 dst-address=107.XXX.XXX.254/32 dst-port=1701 protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=85.YYY.YYY.YYY sa-dst-address=107.XXX.XXX.254 priority=2


В InstalledSAs создается:

Flags: A - AH, E - ESP

0 E spi=0xA17FDD7 src-address=85.YYY.YYY.YYY:55877

dst-address=107.XXX.XXX.254:4500 state=mature auth-algorithm=sha1

enc-algorithm=3des auth-key="e44da053c5870d19fgc50f7d7ef97187eaa31e1f"


addtime=may/07/2015 11:29:19 expires-in=32m1s add-lifetime=48m/1h

current-bytes=648 replay=4



НО если создан ipsec peer вручную с параметром "generate-policy=port-override" Все отлично работает


address= local-address= passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp

send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=12h dpd-interval=2m dpd-maximum-failures=5



И еще один вопрос

Если не указывать в настройках клиента "pre-shared-key" соединение поднимается но с шифрованием "MPPE128 stateless"


Как настроить что бы соединение не поднималось если не указан "pre-shared-key" ?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.