classic.ISPforum.cz

Aktualizace:

Zapnutí L2TP/IPsec serveru

/ip ipsec proposal + /ip ipsec peer už není třeba nastavovat ručně, vytvoří se dynamicky.

---

- Návod pro nejjednodušší nastavení L2TP/IPsec VPN pro klienta ověřujícího se jménem a heslem.
- Poznámka: Z jedné veřejné IP adresy (například lokální síť za NATem) není možné navázet víc než jedno spojení na stejný L2TP/IPsec server. (už neplatí od verze 6.38)
- Na iOS (iPhone, iPad) zvolte jako klienta L2TP, nikoliv IPSec.

Zapnutí L2TP serveru

Nastavení IPsec

Nastavení IPsec peeru

Popis:
- adress 0.0.0.0/ bude akceptovat navázání z jakékoliv adresy
- secret XXXXXX je první autentizační úroveň

Nastavení přihlašovacího jména/hesla a přiřazených IP adres

Popis:
- local-address je IP adresa, která se u VPN klienta přiřadí jako vzdálená, takže z pohledu serveru lokální
- remote-address je IP adresa, která se u klienta nastaví jako lokální, takže z pohledu serveru jako vzdálená

Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

jakou mas verzi RouterOS ?

https://forum.mikrotik.com/viewtopic.php?t=111772

chury721 píše:Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

Kód: Vybrat vše

failed to pre-process ph2 packet 
peer sent packet for dead phase2

Nejnovejší 6.38.5 tušim. Architektura mipsbe a ještě jsem zkoušel x86 - stejná chyba.

chury721 píše:Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

Kód: Vybrat vše

failed to pre-process ph2 packet 
peer sent packet for dead phase2

Přesně tenhle případ nastává, když je na serveru IPsec proposal nastavený na auth algoritmus, který klient nepodporuje, například macOS dosud podporuje pouze sha1 (!!!), takže když na serveru nastavím sha256 nebo sha512, klient se nespojí a do logu to prskne přesně tu samou chybu. Člověk nemusí být génius, aby si dal dvě a dvě dohromady, takže tohle záměrné oslabování bezpečnosti ze strany Apple (a není to jen Apple) mě pěkně štve.

Ale zpátky k věci. Výše uvedený config (SSH1, 3DES) mám odzkoušený na macOS 10.12.3 klientovi proti serveru CCR1016 (6.38.5).

Tak ověřeno na iOS 10.2.1 a funguje v pořádku. Je třeba se nenechat zmást v konfiguraci iOS a vybrat L2TP, nikoliv IPSec.

Nedari se mi rozchodit L2TP/IPSEC dle vyse uvedeneho.
Pripojuji se z Win10 (IP 37.48.45.90) na Mikrotik, ktery ma pres NAT1:1 verejnou IP (10.100.65.1 je jeho neverejna adresa na WANu).


Vypis logu:
respond new phase 1 (Identity Protection): 10.100.65.1[500]<=>37.48.45.90[36580]

the packet is retransmitted by 37.48.45.90[36580].

ISAKMP-SA established 10.100.65.1[4500]-37.48.45.90[36581] spi:fc5db75291739b80:c8790371eb816d47

purging ISAKMP-SA 10.100.65.1[4500]<=>37.48.45.90[36581] spi=fc5db75291739b80:c8790371eb816d47.

ISAKMP-SA deleted 10.100.65.1[4500]-37.48.45.90[36581] spi:fc5db75291739b80:c8790371eb816d47 rekey:1
JK

REsilo se to tu kdyz je NAT 1:1 tal to nejde. Musis se pripojit primo na verejku, nebo to ochcat pres dst-nat

viewtopic.php?f=5&t=20473&p=199373&hilit=L2TP#p199373

zdravím všechny,
máte někdo zkušenosti s vytvořením VPN (L2TP) z iPhonu (ios 10.3.2 + Vodafone) na miktrotik (v6.39.2) s veřejnou IPv4? Snažím se to dle návodů rozchodit, ale dle logu se dostanu do fáze 1 a přijmu první L2TP UDP paket. Poté už jen čistí a smaže komunikaci.

Děkuji.

Mě to běhá jak s VDF, tak s TM dle návodu Zdenka, viz. první příspěvek. Akorát mám na routeru 6.34.6

zdenek.svarc píše:Tak ověřeno na iOS 10.2.1 a funguje v pořádku. Je třeba se nenechat zmást v konfiguraci iOS a vybrat L2TP, nikoliv IPSec.

ios-vpn.png

Muzu vedet, proc nefunguje volba ipsec resp. jaky je rozdil? Jde o to ze

mam server, na ktery volba ipsec z iphonu funguje.
mam mikrotik, na ktery volba ipsec z iphonu NEfunguje, ale l2tp funguje

no a potrebuju propojit ten server a ten mikrotik (vyse uvedne) do jedne site a obavam se, aby to slo (neznaje presne rozdily mezi ipsec a l2tp)... pricemz ten server nemohu menit a mikrotik nevim, zda umoznuje neco menit

A od doby zruseni pptp v ios uz si clovek moc nevybere

Tak ono PPTP už dneska aktivně blokují i některé hotspoty, třeba taková síť eduroam (wifiny ve školách). Jako chápu, že ta technologie už je dneska zastaralá a všechno, ale už mi leze krkem to všeobecné vnucování nového za každou cenu a snahou "zabíjet" staré i jinak než tím, že to postupně všichni opustí sami, jako všichni sami přestali používat diskety (bavíme-li se o běžných PC, ne specialitách např. v průmyslu, kde zřejmě diskety budou v provozu k vidění i za 20 let).

zdenek.svarc píše:- Poznámka: Z jedné veřejné IP adresy (například lokální síť za NATem) není možné navázet víc než jedno spojení na stejný L2TP/IPsec server.

Toto platí obecně pro jakýkoliv L2TP/IPsec server, nebo je to omezení pouze pro Mikrotik?

No diskety jsou ještě docela používané. Ale nedávno mě jeden známý uháněl o chromdioxidové kazety, protože mají ve výrobě několik automatů, které mají obslužný program nahraný na kazetách. Stará zásoba jim postupně došla a nové nejsou k sehnání ...

Myghael píše:Tak ono PPTP už dneska aktivně blokují i některé hotspoty, třeba taková síť eduroam (wifiny ve školách). Jako chápu, že ta technologie už je dneska zastaralá a všechno, ale už mi leze krkem to všeobecné vnucování nového za každou cenu a snahou "zabíjet" staré i jinak než tím, že to postupně všichni opustí sami, jako všichni sami přestali používat diskety (bavíme-li se o běžných PC, ne specialitách např. v průmyslu, kde zřejmě diskety budou v provozu k vidění i za 20 let).

Ano, v průmyslu a podobně, sám je používám také, tu a tam se potýkám i páskami (nemám tím na mysli jen moderní LTO kazety, myslím ty staré pásky na cívkách). V původním příspěvku jsem tím "běžně" měl na mysli domácí a kancelářské uživatele, a tam v dnešní době disketu uvidíš jedině jako obrázek na tlačítku "Uložit" a "Uložit jako...", nevejdeš-li teda do kanceláře v nějaké už delší dobu fungující fabrice nebo podobném místě.