[mrrc]

Друзья, есть ли рабочий конфиг в части настройки L2TP + IPSec на микротике, с которым одновременно работали бы подключающиеся клиенты с WinXP, Win7+, iPhone? Многое перепробовал, либо работает с XP-шки, но ни в какую с iPhone, либо уверенно с Win7+ и iPhone, но с WinXP ни черта.

 

В приоритете, конечно, гарантированная стабильное подключение с указанных Windows удаленных рабочих мест.

 

Поделитесь, пожалуйста, своим опытом сопряжения несопрягаемого или толковой статьей.

[Night_Snake]

Ну для начала вот: http://nixman.info/?p=2308

Если не взлетит - буду рад обратной связи :)

[mrrc]

Иногда полезно удалить все настройки, относившиеся с L2TP\IPSec и связанные с ними подключения на удаленных рабочих местах и настроить все по новой.

Настроил по этому мануалу.

Подключается с Win7, WinXP, iPhone.

 

Что беспокоит:

 

При подключении с Win7 в логе микротика появляются три записи вида:

ipsec, error	key length mismatched, mine:256 peer:128.

Если дело в длине предварительного ключа IPSec, то какая же должна быть у него длина?

 

При подключениях с WinXP:

ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5

Соответственно есть сомнения, что шифруется весь трафик, особенно когда в iPSec -> Installed SAs при подключении появляется четыре строки и только по двум счетчикам идет трафик, другие две по нолям. Плюс подогревает вот эта статья на тему.

[mikezzzz]

сделайте для win7 отдельные настройки в IPsec peers вида

 

ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key secret="MYKEY" generate-policy=port-override exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp2048

[mrrc]

Попробовал, для Win7 ошибки в логе сохранились.

С WinXP подключение не возможно.

[mikezzzz]

в секцию ipsec proposal добавьте aes-128, это для Win7

 

/ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none

 

С WinXP подключение не возможно.

вы именно добавили еще один элемент в ipsec peers или внесли изменения в текущий?

Edited September 26, 2016 by mikezzzz

[mrrc]

в секцию ipsec proposal добавьте aes-128, это для Win7

 

/ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none

С aes-128 вместо трех записей "ipsec, error key length mismatched, mine:256 peer:128." только одна, но все равно есть.

 

# sep/26/2016 20:31:55 by RouterOS 6.36.2
# software id = 2J1M-M2F4
#
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] disabled=yes enc-algorithms=aes-256-cbc,3des pfs-group=none
add enc-algorithms=aes-256-cbc,aes-128-cbc,3des name=L2TP-Proposal pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=group1 secret=***
add address=0.0.0.0/0 dh-group=modp2048 disabled=yes enc-algorithm=aes-256 exchange-mode=main-l2tp generate-policy=port-override policy-template-group=group1 \
   secret=***
/ip ipsec policy
set 0 group=group1 proposal=L2TP-Proposal

 

вы именно добавили еще один элемент в ipsec peers или внесли изменения в текущий?

Добавлял дополнительный элемент в ipsec peers.

[mikezzzz]

покрутил микротик из любопытства, несколько ipsec peers с одним адресом 0.0.0.0 он не разгребает, хотя в мануале написано, что должен отличать :)

 

Советую в пирс выставить auth=sha1,enc=3des(для winxp), aes/aes192/aes256 (win7/iphone), mode=main-l2tp, group=modp1024 - это IKE phase1, чем больше тут укажете, тем больше вероятность, что разношерстный девайс согласует IKE SA и перейдет к фазе 2.

 

В ipsec proposal выставить auth=sha1,enc=3des,aes/aes/192/aes256, pdf=modp1024 - это вторая фаза IKE, собственно параметры IPSEC, которые так же согласуются между девайсами, именно на эту фазу у вас "ругается". На самом деле микротик пытается использоваться более продвинутые протоколы в первую очередь (aes256>aes192>aes128 и sha1>hmac-md5, например), проблема в том, что win7 не умеет в AES больше чем 128, по этому на 256 и 192 микротик получит отлуп от клиента с win7, о чем и сообщит в логе.

Winxp у меня итого круче - взлетела только на 3des/sha1, при этом микротик ругнулся на hmac-md5, но судя по installed SA поднялась все же hmac-sha1 с winxp.

 

На логи об "ошибках" можно забить, в installed SA написано на каких протоколах поднята сессия, если какие-то каунтеры не изменяются - попингуйте с микрота клиента.

 

p.s. в микортиках не спец, может где и недопонял чего в конфиге, но win7/xp вроде взлетело нормально, настраивал по аналогии с cisco l2tp+ipsec.

Edited September 27, 2016 by mikezzzz

[mrrc]

Спасибо за расклад, я вас понял.

Добавил для большей совместимости все, что указали выше.

Проверено с удаленных рабочих мест под XP, 7, iPhone, все работает.

Ошибки действительно информативные.

 

В Installed SAs для XP поднимается на sha1\3des, в логе прежние:

ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5
ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5

В Installed SAs для 7-ки поднимается на sha1\aes cbc, в логе:

ipsec, error	key length mismatched, mine:256 peer:128.
ipsec, error	key length mismatched, mine:192 peer:128.

Кстати, такой момент, если отключить в Proposals не удаляемый *default, то перестает подключаться XP, ругаясь:

ipsec, error	XXX.XXX.XXX.XXX failed to pre-process ph2 packet.
ipsec, error	XXX.XXX.XXX.XXX peer sent packet for dead phase2
ipsec, error	XXX.XXX.XXX.XXX ...
ipsec, error	XXX.XXX.XXX.XXX peer sent packet for dead phase2

Продублировать в нем настройки из L2TP-Proposal? Хотя и с текущими из конфига ниже работает.

 

Кстати, в export-е ниже почему-то отсутствуют заданные значения pfs-group=modp1024 в L2TP-Proposal и прочие не указанные настройки из Peers.

 

/ip ipsec> export
# sep/27/2016 12:44:24 by RouterOS 6.36.2
# software id = 2J1M-M2F4
#
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr,aes-128-cbc,aes-128-ctr,3des name=L2TP-Proposal
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=\
   group1 secret=***
/ip ipsec policy
set 0 group=group1 proposal=L2TP-Proposal

[mikezzzz]

Кстати, такой момент, если отключить в Proposals не удаляемый *default, то перестает подключаться XP, ругаясь:

ipsec, error    XXX.XXX.XXX.XXX failed to pre-process ph2 packet.

ipsec, error    XXX.XXX.XXX.XXX peer sent packet for dead phase2

ipsec, error    XXX.XXX.XXX.XXX ...

ipsec, error    XXX.XXX.XXX.XXX peer sent packet for dead phase2

Продублировать в нем настройки из L2TP-Proposal? Хотя и с текущими из конфига ниже работает.

тут не скажу, проще вообще пункт с L2tp-Proposal пропустить и все натстройки сделать в default

у меня с таким все взлетело

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
   aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

[mrrc]

проще вообще пункт с L2tp-Proposal пропустить и все натстройки сделать в default

у меня с таким все взлетело

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
   aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

Да, согласен.

Плюс указать его в IPsec -> Policies -> *T -> Action - Proposal, если не удален полностью L2tp-Proposal.

[Nemiroff_84]

Попробуйте настроить как здесь описано: http://mikrotik.vetriks.ru/wiki/VPN:L2TP_%D0%B8_L2TP/IPsec_client-to-site_(%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D1%81_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2)

 

Так же есть инструкции по настройке VPN-клиентов: http://mikrotik.vetriks.ru/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0#.D0.9E.D0.B1.D1.8A.D0.B5.D0.B4.D0.B8.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D0.BE.D1.84.D0.B8.D1.81.D0.BE.D0.B2_.28VPN.29

[mrrc]

У меня сейчас все настроено и работоспособность устраивает вполне, схема настройки для себя выведена на будущее.

А инструкции весьма поверхностные, где опускаются многие нюансы, без которых вряд ли что-либо заведется без доработки.

[Nemiroff_84]

У меня сейчас все настроено и работоспособность устраивает вполне, схема настройки для себя выведена на будущее.

А инструкции весьма поверхностные, где опускаются многие нюансы, без которых вряд ли что-либо заведется без доработки.

 

Можете подсказать чего не хватает в инструкциях?

[mrrc]

Можете подсказать чего не хватает в инструкциях?

Как минимум бросается в глаза недонастройка L2TP-сервера в плане связки с IPSec, весьма поверхностная настройка Peer и полное отсутствие упоминания по настройке Proposals.