Jump to content

L2TP + IPSec и клиенты с WinXP, Win7+, iPhone

mrrc
 Share

Recommended Posts

mrrc

mrrc

Posted
Posted

Друзья, есть ли рабочий конфиг в части настройки L2TP + IPSec на микротике, с которым одновременно работали бы подключающиеся клиенты с WinXP, Win7+, iPhone? Многое перепробовал, либо работает с XP-шки, но ни в какую с iPhone, либо уверенно с Win7+ и iPhone, но с WinXP ни черта.

 

В приоритете, конечно, гарантированная стабильное подключение с указанных Windows удаленных рабочих мест.

 

Поделитесь, пожалуйста, своим опытом сопряжения несопрягаемого или толковой статьей.

mrrc

mrrc

Posted
  • Author
Posted

Иногда полезно удалить все настройки, относившиеся с L2TP\IPSec и связанные с ними подключения на удаленных рабочих местах и настроить все по новой.

Настроил по этому мануалу.

Подключается с Win7, WinXP, iPhone.

 

Что беспокоит:

 

При подключении с Win7 в логе микротика появляются три записи вида:

ipsec, error	key length mismatched, mine:256 peer:128.

Если дело в длине предварительного ключа IPSec, то какая же должна быть у него длина?

 

При подключениях с WinXP:

ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5

Соответственно есть сомнения, что шифруется весь трафик, особенно когда в iPSec -> Installed SAs при подключении появляется четыре строки и только по двум счетчикам идет трафик, другие две по нолям. Плюс подогревает вот эта статья на тему.

mikezzzz

mikezzzz

Posted
Posted

сделайте для win7 отдельные настройки в IPsec peers вида

 

ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key secret="MYKEY" generate-policy=port-override exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp2048

mikezzzz

mikezzzz

Posted
Posted (edited)

в секцию ipsec proposal добавьте aes-128, это для Win7

 

/ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none

 

С WinXP подключение не возможно.

вы именно добавили еще один элемент в ipsec peers или внесли изменения в текущий?

Edited by mikezzzz
mrrc

mrrc

Posted
  • Author
Posted

в секцию ipsec proposal добавьте aes-128, это для Win7

 

/ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none

С aes-128 вместо трех записей "ipsec, error key length mismatched, mine:256 peer:128." только одна, но все равно есть.

 

# sep/26/2016 20:31:55 by RouterOS 6.36.2
# software id = 2J1M-M2F4
#
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] disabled=yes enc-algorithms=aes-256-cbc,3des pfs-group=none
add enc-algorithms=aes-256-cbc,aes-128-cbc,3des name=L2TP-Proposal pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=group1 secret=***
add address=0.0.0.0/0 dh-group=modp2048 disabled=yes enc-algorithm=aes-256 exchange-mode=main-l2tp generate-policy=port-override policy-template-group=group1 \
   secret=***
/ip ipsec policy
set 0 group=group1 proposal=L2TP-Proposal

 

вы именно добавили еще один элемент в ipsec peers или внесли изменения в текущий?

Добавлял дополнительный элемент в ipsec peers.

mikezzzz

mikezzzz

Posted
Posted (edited)

покрутил микротик из любопытства, несколько ipsec peers с одним адресом 0.0.0.0 он не разгребает, хотя в мануале написано, что должен отличать :)

 

Советую в пирс выставить auth=sha1,enc=3des(для winxp), aes/aes192/aes256 (win7/iphone), mode=main-l2tp, group=modp1024 - это IKE phase1, чем больше тут укажете, тем больше вероятность, что разношерстный девайс согласует IKE SA и перейдет к фазе 2.

 

В ipsec proposal выставить auth=sha1,enc=3des,aes/aes/192/aes256, pdf=modp1024 - это вторая фаза IKE, собственно параметры IPSEC, которые так же согласуются между девайсами, именно на эту фазу у вас "ругается". На самом деле микротик пытается использоваться более продвинутые протоколы в первую очередь (aes256>aes192>aes128 и sha1>hmac-md5, например), проблема в том, что win7 не умеет в AES больше чем 128, по этому на 256 и 192 микротик получит отлуп от клиента с win7, о чем и сообщит в логе.

Winxp у меня итого круче - взлетела только на 3des/sha1, при этом микротик ругнулся на hmac-md5, но судя по installed SA поднялась все же hmac-sha1 с winxp.

 

На логи об "ошибках" можно забить, в installed SA написано на каких протоколах поднята сессия, если какие-то каунтеры не изменяются - попингуйте с микрота клиента.

 

p.s. в микортиках не спец, может где и недопонял чего в конфиге, но win7/xp вроде взлетело нормально, настраивал по аналогии с cisco l2tp+ipsec.

Edited by mikezzzz
mrrc

mrrc

Posted
  • Author
Posted

Спасибо за расклад, я вас понял.

Добавил для большей совместимости все, что указали выше.

Проверено с удаленных рабочих мест под XP, 7, iPhone, все работает.

Ошибки действительно информативные.

 

В Installed SAs для XP поднимается на sha1\3des, в логе прежние:

ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5
ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5

В Installed SAs для 7-ки поднимается на sha1\aes cbc, в логе:

ipsec, error	key length mismatched, mine:256 peer:128.
ipsec, error	key length mismatched, mine:192 peer:128.

Кстати, такой момент, если отключить в Proposals не удаляемый *default, то перестает подключаться XP, ругаясь:

ipsec, error	XXX.XXX.XXX.XXX failed to pre-process ph2 packet.
ipsec, error	XXX.XXX.XXX.XXX peer sent packet for dead phase2
ipsec, error	XXX.XXX.XXX.XXX ...
ipsec, error	XXX.XXX.XXX.XXX peer sent packet for dead phase2

Продублировать в нем настройки из L2TP-Proposal? Хотя и с текущими из конфига ниже работает.

 

Кстати, в export-е ниже почему-то отсутствуют заданные значения pfs-group=modp1024 в L2TP-Proposal и прочие не указанные настройки из Peers.

 

/ip ipsec> export
# sep/27/2016 12:44:24 by RouterOS 6.36.2
# software id = 2J1M-M2F4
#
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr,aes-128-cbc,aes-128-ctr,3des name=L2TP-Proposal
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=\
   group1 secret=***
/ip ipsec policy
set 0 group=group1 proposal=L2TP-Proposal

mikezzzz

mikezzzz

Posted
Posted

Кстати, такой момент, если отключить в Proposals не удаляемый *default, то перестает подключаться XP, ругаясь:

ipsec, error    XXX.XXX.XXX.XXX failed to pre-process ph2 packet.

ipsec, error    XXX.XXX.XXX.XXX peer sent packet for dead phase2

ipsec, error    XXX.XXX.XXX.XXX ...

ipsec, error    XXX.XXX.XXX.XXX peer sent packet for dead phase2

Продублировать в нем настройки из L2TP-Proposal? Хотя и с текущими из конфига ниже работает.

тут не скажу, проще вообще пункт с L2tp-Proposal пропустить и все натстройки сделать в default

у меня с таким все взлетело

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
   aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

mrrc

mrrc

Posted
  • Author
Posted

проще вообще пункт с L2tp-Proposal пропустить и все натстройки сделать в default

у меня с таким все взлетело

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
   aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

Да, согласен.

Плюс указать его в IPsec -> Policies -> *T -> Action - Proposal, если не удален полностью L2tp-Proposal.

  • 2 weeks later...
Nemiroff_84

Nemiroff_84

Posted
Posted

Попробуйте настроить как здесь описано: http://mikrotik.vetriks.ru/wiki/VPN:L2TP_%D0%B8_L2TP/IPsec_client-to-site_(%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D1%81_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2)

 

Так же есть инструкции по настройке VPN-клиентов: http://mikrotik.vetriks.ru/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0#.D0.9E.D0.B1.D1.8A.D0.B5.D0.B4.D0.B8.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D0.BE.D1.84.D0.B8.D1.81.D0.BE.D0.B2_.28VPN.29

mrrc

mrrc

Posted
  • Author
Posted

У меня сейчас все настроено и работоспособность устраивает вполне, схема настройки для себя выведена на будущее.

А инструкции весьма поверхностные, где опускаются многие нюансы, без которых вряд ли что-либо заведется без доработки.

Nemiroff_84

Nemiroff_84

Posted
Posted

У меня сейчас все настроено и работоспособность устраивает вполне, схема настройки для себя выведена на будущее.

А инструкции весьма поверхностные, где опускаются многие нюансы, без которых вряд ли что-либо заведется без доработки.

 

Можете подсказать чего не хватает в инструкциях?

mrrc

mrrc

Posted
  • Author
Posted
Можете подсказать чего не хватает в инструкциях?

Как минимум бросается в глаза недонастройка L2TP-сервера в плане связки с IPSec, весьма поверхностная настройка Peer и полное отсутствие упоминания по настройке Proposals.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.