Jump to content

L2TP сервер Несколько вопросов по настройке

Добрый день!

Задача такая

 

Есть MikroTik RB751G-2HnD

Белый внешний IP 107.XXX.XXX.254

Локалка : 10.39.0.0/24

 

Поднят L2TP/IPSEC сервер

enabled: yes

max-mtu: 1450

max-mru: 1450

mrru: disabled

authentication: mschap2

keepalive-timeout: 30

default-profile: vpn-encryption

use-ipsec: yes

ipsec-secret: 123

 

Профиль для удаленных пользователей

"vpn-encryption" local-address=10.0.0.1 remote-address=pool_vpn use-mpls=default use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list=""

 

Диапазон выдаваемых адресов

"pool_vpn" ranges=10.0.0.50-10.0.0.100

 

interface bridge set 0 arp=proxy-arp

 

IPSEC peer создается автоматом с параметром "generate-policy=port-strict"

 

D address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-strict policy-template-group=default exchange-mode=main-l2tp

send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-128,aes-192,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

 

В firewall

chain=input action=accept protocol=udp port=1701,500,4500

chain=input protocol=ipsec-esp

 

При попытке подключения выходит ошибка 809 и не подключается

 

НО в Policies создается:

D src-address=85.YYY.YYY.YYY/32 src-port=55877 dst-address=107.XXX.XXX.254/32 dst-port=1701 protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=85.YYY.YYY.YYY sa-dst-address=107.XXX.XXX.254 priority=2

 

В InstalledSAs создается:

Flags: A - AH, E - ESP

0 E spi=0xA17FDD7 src-address=85.YYY.YYY.YYY:55877

dst-address=107.XXX.XXX.254:4500 state=mature auth-algorithm=sha1

enc-algorithm=3des auth-key="e44da053c5870d19fgc50f7d7ef97187eaa31e1f"

enc-key="c0b665426dab8898d30cfg86c47c4c4df3e25897d5bab9ec"

addtime=may/07/2015 11:29:19 expires-in=32m1s add-lifetime=48m/1h

current-bytes=648 replay=4

 

 

НО если создан ipsec peer вручную с параметром "generate-policy=port-override" Все отлично работает

L2TP VPN

address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key secret="123" generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp

send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=12h dpd-interval=2m dpd-maximum-failures=5

 

 

И еще один вопрос

Если не указывать в настройках клиента "pre-shared-key" соединение поднимается но с шифрованием "MPPE128 stateless"

 

Как настроить что бы соединение не поднималось если не указан "pre-shared-key" ?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.