Перейти к содержимому
Калькуляторы

L2TP + IPSec и клиенты с WinXP, Win7+, iPhone

Друзья, есть ли рабочий конфиг в части настройки L2TP + IPSec на микротике, с которым одновременно работали бы подключающиеся клиенты с WinXP, Win7+, iPhone? Многое перепробовал, либо работает с XP-шки, но ни в какую с iPhone, либо уверенно с Win7+ и iPhone, но с WinXP ни черта.

 

В приоритете, конечно, гарантированная стабильное подключение с указанных Windows удаленных рабочих мест.

 

Поделитесь, пожалуйста, своим опытом сопряжения несопрягаемого или толковой статьей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну для начала вот: http://nixman.info/?p=2308

Если не взлетит - буду рад обратной связи :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Иногда полезно удалить все настройки, относившиеся с L2TP\IPSec и связанные с ними подключения на удаленных рабочих местах и настроить все по новой.

Настроил по этому мануалу.

Подключается с Win7, WinXP, iPhone.

 

Что беспокоит:

 

При подключении с Win7 в логе микротика появляются три записи вида:

ipsec, error	key length mismatched, mine:256 peer:128.

Если дело в длине предварительного ключа IPSec, то какая же должна быть у него длина?

 

При подключениях с WinXP:

ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5

Соответственно есть сомнения, что шифруется весь трафик, особенно когда в iPSec -> Installed SAs при подключении появляется четыре строки и только по двум счетчикам идет трафик, другие две по нолям. Плюс подогревает вот эта статья на тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сделайте для win7 отдельные настройки в IPsec peers вида

 

ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key secret="MYKEY" generate-policy=port-override exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp2048

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробовал, для Win7 ошибки в логе сохранились.

С WinXP подключение не возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в секцию ipsec proposal добавьте aes-128, это для Win7

 

/ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none

 

С WinXP подключение не возможно.

вы именно добавили еще один элемент в ipsec peers или внесли изменения в текущий?

Изменено пользователем mikezzzz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в секцию ipsec proposal добавьте aes-128, это для Win7

 

/ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none

С aes-128 вместо трех записей "ipsec, error key length mismatched, mine:256 peer:128." только одна, но все равно есть.

 

# sep/26/2016 20:31:55 by RouterOS 6.36.2
# software id = 2J1M-M2F4
#
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] disabled=yes enc-algorithms=aes-256-cbc,3des pfs-group=none
add enc-algorithms=aes-256-cbc,aes-128-cbc,3des name=L2TP-Proposal pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=group1 secret=***
add address=0.0.0.0/0 dh-group=modp2048 disabled=yes enc-algorithm=aes-256 exchange-mode=main-l2tp generate-policy=port-override policy-template-group=group1 \
   secret=***
/ip ipsec policy
set 0 group=group1 proposal=L2TP-Proposal

 

вы именно добавили еще один элемент в ipsec peers или внесли изменения в текущий?

Добавлял дополнительный элемент в ipsec peers.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

покрутил микротик из любопытства, несколько ipsec peers с одним адресом 0.0.0.0 он не разгребает, хотя в мануале написано, что должен отличать :)

 

Советую в пирс выставить auth=sha1,enc=3des(для winxp), aes/aes192/aes256 (win7/iphone), mode=main-l2tp, group=modp1024 - это IKE phase1, чем больше тут укажете, тем больше вероятность, что разношерстный девайс согласует IKE SA и перейдет к фазе 2.

 

В ipsec proposal выставить auth=sha1,enc=3des,aes/aes/192/aes256, pdf=modp1024 - это вторая фаза IKE, собственно параметры IPSEC, которые так же согласуются между девайсами, именно на эту фазу у вас "ругается". На самом деле микротик пытается использоваться более продвинутые протоколы в первую очередь (aes256>aes192>aes128 и sha1>hmac-md5, например), проблема в том, что win7 не умеет в AES больше чем 128, по этому на 256 и 192 микротик получит отлуп от клиента с win7, о чем и сообщит в логе.

Winxp у меня итого круче - взлетела только на 3des/sha1, при этом микротик ругнулся на hmac-md5, но судя по installed SA поднялась все же hmac-sha1 с winxp.

 

На логи об "ошибках" можно забить, в installed SA написано на каких протоколах поднята сессия, если какие-то каунтеры не изменяются - попингуйте с микрота клиента.

 

p.s. в микортиках не спец, может где и недопонял чего в конфиге, но win7/xp вроде взлетело нормально, настраивал по аналогии с cisco l2tp+ipsec.

Изменено пользователем mikezzzz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за расклад, я вас понял.

Добавил для большей совместимости все, что указали выше.

Проверено с удаленных рабочих мест под XP, 7, iPhone, все работает.

Ошибки действительно информативные.

 

В Installed SAs для XP поднимается на sha1\3des, в логе прежние:

ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5
ipsec, error	authtype mismatched: my:hmac-sha1 peer:hmac-md5

В Installed SAs для 7-ки поднимается на sha1\aes cbc, в логе:

ipsec, error	key length mismatched, mine:256 peer:128.
ipsec, error	key length mismatched, mine:192 peer:128.

Кстати, такой момент, если отключить в Proposals не удаляемый *default, то перестает подключаться XP, ругаясь:

ipsec, error	XXX.XXX.XXX.XXX failed to pre-process ph2 packet.
ipsec, error	XXX.XXX.XXX.XXX peer sent packet for dead phase2
ipsec, error	XXX.XXX.XXX.XXX ...
ipsec, error	XXX.XXX.XXX.XXX peer sent packet for dead phase2

Продублировать в нем настройки из L2TP-Proposal? Хотя и с текущими из конфига ниже работает.

 

Кстати, в export-е ниже почему-то отсутствуют заданные значения pfs-group=modp1024 в L2TP-Proposal и прочие не указанные настройки из Peers.

 

/ip ipsec> export
# sep/27/2016 12:44:24 by RouterOS 6.36.2
# software id = 2J1M-M2F4
#
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr,aes-128-cbc,aes-128-ctr,3des name=L2TP-Proposal
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=\
   group1 secret=***
/ip ipsec policy
set 0 group=group1 proposal=L2TP-Proposal

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, такой момент, если отключить в Proposals не удаляемый *default, то перестает подключаться XP, ругаясь:

ipsec, error    XXX.XXX.XXX.XXX failed to pre-process ph2 packet.

ipsec, error    XXX.XXX.XXX.XXX peer sent packet for dead phase2

ipsec, error    XXX.XXX.XXX.XXX ...

ipsec, error    XXX.XXX.XXX.XXX peer sent packet for dead phase2

Продублировать в нем настройки из L2TP-Proposal? Хотя и с текущими из конфига ниже работает.

тут не скажу, проще вообще пункт с L2tp-Proposal пропустить и все натстройки сделать в default

у меня с таким все взлетело

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
   aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

проще вообще пункт с L2tp-Proposal пропустить и все натстройки сделать в default

у меня с таким все взлетело

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
   aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

Да, согласен.

Плюс указать его в IPsec -> Policies -> *T -> Action - Proposal, если не удален полностью L2tp-Proposal.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня сейчас все настроено и работоспособность устраивает вполне, схема настройки для себя выведена на будущее.

А инструкции весьма поверхностные, где опускаются многие нюансы, без которых вряд ли что-либо заведется без доработки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня сейчас все настроено и работоспособность устраивает вполне, схема настройки для себя выведена на будущее.

А инструкции весьма поверхностные, где опускаются многие нюансы, без которых вряд ли что-либо заведется без доработки.

 

Можете подсказать чего не хватает в инструкциях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можете подсказать чего не хватает в инструкциях?

Как минимум бросается в глаза недонастройка L2TP-сервера в плане связки с IPSec, весьма поверхностная настройка Peer и полное отсутствие упоминания по настройке Proposals.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.