mrrc Опубликовано 24 сентября, 2016 · Жалоба Друзья, есть ли рабочий конфиг в части настройки L2TP + IPSec на микротике, с которым одновременно работали бы подключающиеся клиенты с WinXP, Win7+, iPhone? Многое перепробовал, либо работает с XP-шки, но ни в какую с iPhone, либо уверенно с Win7+ и iPhone, но с WinXP ни черта. В приоритете, конечно, гарантированная стабильное подключение с указанных Windows удаленных рабочих мест. Поделитесь, пожалуйста, своим опытом сопряжения несопрягаемого или толковой статьей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 26 сентября, 2016 · Жалоба Ну для начала вот: http://nixman.info/?p=2308 Если не взлетит - буду рад обратной связи :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 26 сентября, 2016 · Жалоба Иногда полезно удалить все настройки, относившиеся с L2TP\IPSec и связанные с ними подключения на удаленных рабочих местах и настроить все по новой. Настроил по этому мануалу. Подключается с Win7, WinXP, iPhone. Что беспокоит: При подключении с Win7 в логе микротика появляются три записи вида: ipsec, error key length mismatched, mine:256 peer:128. Если дело в длине предварительного ключа IPSec, то какая же должна быть у него длина? При подключениях с WinXP: ipsec, error authtype mismatched: my:hmac-sha1 peer:hmac-md5 Соответственно есть сомнения, что шифруется весь трафик, особенно когда в iPSec -> Installed SAs при подключении появляется четыре строки и только по двум счетчикам идет трафик, другие две по нолям. Плюс подогревает вот эта статья на тему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 26 сентября, 2016 · Жалоба сделайте для win7 отдельные настройки в IPsec peers вида ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key secret="MYKEY" generate-policy=port-override exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp2048 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 26 сентября, 2016 · Жалоба Попробовал, для Win7 ошибки в логе сохранились. С WinXP подключение не возможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 26 сентября, 2016 (изменено) · Жалоба в секцию ipsec proposal добавьте aes-128, это для Win7 /ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none С WinXP подключение не возможно. вы именно добавили еще один элемент в ipsec peers или внесли изменения в текущий? Изменено 26 сентября, 2016 пользователем mikezzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 26 сентября, 2016 · Жалоба в секцию ipsec proposal добавьте aes-128, это для Win7 /ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none С aes-128 вместо трех записей "ipsec, error key length mismatched, mine:256 peer:128." только одна, но все равно есть. # sep/26/2016 20:31:55 by RouterOS 6.36.2 # software id = 2J1M-M2F4 # /ip ipsec policy group add name=group1 /ip ipsec proposal set [ find default=yes ] disabled=yes enc-algorithms=aes-256-cbc,3des pfs-group=none add enc-algorithms=aes-256-cbc,aes-128-cbc,3des name=L2TP-Proposal pfs-group=none /ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=group1 secret=*** add address=0.0.0.0/0 dh-group=modp2048 disabled=yes enc-algorithm=aes-256 exchange-mode=main-l2tp generate-policy=port-override policy-template-group=group1 \ secret=*** /ip ipsec policy set 0 group=group1 proposal=L2TP-Proposal вы именно добавили еще один элемент в ipsec peers или внесли изменения в текущий? Добавлял дополнительный элемент в ipsec peers. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 27 сентября, 2016 (изменено) · Жалоба покрутил микротик из любопытства, несколько ipsec peers с одним адресом 0.0.0.0 он не разгребает, хотя в мануале написано, что должен отличать :) Советую в пирс выставить auth=sha1,enc=3des(для winxp), aes/aes192/aes256 (win7/iphone), mode=main-l2tp, group=modp1024 - это IKE phase1, чем больше тут укажете, тем больше вероятность, что разношерстный девайс согласует IKE SA и перейдет к фазе 2. В ipsec proposal выставить auth=sha1,enc=3des,aes/aes/192/aes256, pdf=modp1024 - это вторая фаза IKE, собственно параметры IPSEC, которые так же согласуются между девайсами, именно на эту фазу у вас "ругается". На самом деле микротик пытается использоваться более продвинутые протоколы в первую очередь (aes256>aes192>aes128 и sha1>hmac-md5, например), проблема в том, что win7 не умеет в AES больше чем 128, по этому на 256 и 192 микротик получит отлуп от клиента с win7, о чем и сообщит в логе. Winxp у меня итого круче - взлетела только на 3des/sha1, при этом микротик ругнулся на hmac-md5, но судя по installed SA поднялась все же hmac-sha1 с winxp. На логи об "ошибках" можно забить, в installed SA написано на каких протоколах поднята сессия, если какие-то каунтеры не изменяются - попингуйте с микрота клиента. p.s. в микортиках не спец, может где и недопонял чего в конфиге, но win7/xp вроде взлетело нормально, настраивал по аналогии с cisco l2tp+ipsec. Изменено 27 сентября, 2016 пользователем mikezzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 27 сентября, 2016 · Жалоба Спасибо за расклад, я вас понял. Добавил для большей совместимости все, что указали выше. Проверено с удаленных рабочих мест под XP, 7, iPhone, все работает. Ошибки действительно информативные. В Installed SAs для XP поднимается на sha1\3des, в логе прежние: ipsec, error authtype mismatched: my:hmac-sha1 peer:hmac-md5 ipsec, error authtype mismatched: my:hmac-sha1 peer:hmac-md5 В Installed SAs для 7-ки поднимается на sha1\aes cbc, в логе: ipsec, error key length mismatched, mine:256 peer:128. ipsec, error key length mismatched, mine:192 peer:128. Кстати, такой момент, если отключить в Proposals не удаляемый *default, то перестает подключаться XP, ругаясь: ipsec, error XXX.XXX.XXX.XXX failed to pre-process ph2 packet. ipsec, error XXX.XXX.XXX.XXX peer sent packet for dead phase2 ipsec, error XXX.XXX.XXX.XXX ... ipsec, error XXX.XXX.XXX.XXX peer sent packet for dead phase2 Продублировать в нем настройки из L2TP-Proposal? Хотя и с текущими из конфига ниже работает. Кстати, в export-е ниже почему-то отсутствуют заданные значения pfs-group=modp1024 в L2TP-Proposal и прочие не указанные настройки из Peers. /ip ipsec> export # sep/27/2016 12:44:24 by RouterOS 6.36.2 # software id = 2J1M-M2F4 # /ip ipsec policy group add name=group1 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr,aes-128-cbc,aes-128-ctr,3des name=L2TP-Proposal /ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=\ group1 secret=*** /ip ipsec policy set 0 group=group1 proposal=L2TP-Proposal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 27 сентября, 2016 · Жалоба Кстати, такой момент, если отключить в Proposals не удаляемый *default, то перестает подключаться XP, ругаясь: ipsec, error XXX.XXX.XXX.XXX failed to pre-process ph2 packet. ipsec, error XXX.XXX.XXX.XXX peer sent packet for dead phase2 ipsec, error XXX.XXX.XXX.XXX ... ipsec, error XXX.XXX.XXX.XXX peer sent packet for dead phase2 Продублировать в нем настройки из L2TP-Proposal? Хотя и с текущими из конфига ниже работает. тут не скажу, проще вообще пункт с L2tp-Proposal пропустить и все натстройки сделать в default у меня с таким все взлетело /ip ipsec proposal set [ find default=yes ] enc-algorithms=\ aes-256-cbc,aes-192-cbc,aes-128-cbc,3des Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 27 сентября, 2016 · Жалоба проще вообще пункт с L2tp-Proposal пропустить и все натстройки сделать в default у меня с таким все взлетело /ip ipsec proposal set [ find default=yes ] enc-algorithms=\ aes-256-cbc,aes-192-cbc,aes-128-cbc,3des Да, согласен. Плюс указать его в IPsec -> Policies -> *T -> Action - Proposal, если не удален полностью L2tp-Proposal. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nemiroff_84 Опубликовано 7 октября, 2016 · Жалоба Попробуйте настроить как здесь описано: http://mikrotik.vetriks.ru/wiki/VPN:L2TP_%D0%B8_L2TP/IPsec_client-to-site_(%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D1%81_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2) Так же есть инструкции по настройке VPN-клиентов: http://mikrotik.vetriks.ru/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0#.D0.9E.D0.B1.D1.8A.D0.B5.D0.B4.D0.B8.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D0.BE.D1.84.D0.B8.D1.81.D0.BE.D0.B2_.28VPN.29 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 8 октября, 2016 · Жалоба У меня сейчас все настроено и работоспособность устраивает вполне, схема настройки для себя выведена на будущее. А инструкции весьма поверхностные, где опускаются многие нюансы, без которых вряд ли что-либо заведется без доработки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nemiroff_84 Опубликовано 8 октября, 2016 · Жалоба У меня сейчас все настроено и работоспособность устраивает вполне, схема настройки для себя выведена на будущее. А инструкции весьма поверхностные, где опускаются многие нюансы, без которых вряд ли что-либо заведется без доработки. Можете подсказать чего не хватает в инструкциях? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 8 октября, 2016 · Жалоба Можете подсказать чего не хватает в инструкциях? Как минимум бросается в глаза недонастройка L2TP-сервера в плане связки с IPSec, весьма поверхностная настройка Peer и полное отсутствие упоминания по настройке Proposals. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...