zdravim vas
pokusam sa uz par dni rozbehat VPN a to "Road Warrior setup with Mode Conf" - http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
no nedari sa mi to, vsetko robim presne tak ako je uvedene v navode (linka vyssie)
porty 500 s 4500 mam tiez otvorene
vie mi niekto pomoct popripade cez teamviewer to nastavit?
moja siet:
ext ip->nat ip->lan router mikrotik rb850v2->wifi router
88..->10....->192....->sluzi ako switch +wifi, vypnute dhcp
chcem sa pomocou vpn tunelu pripajat na svoju siet z "vonku"
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
ipsec - Road Warrior setup with Mode Conf
Zrada bude asi tím NATem na straně IPsec serveru. Dáno tím, že ROS chybně generuje dynamické policy pravidla v takové konfiguraci (když je NAT na straně IPsec serveru), takže výsledkem je, že data ti dojdou a správně se dešifrují, ale už nedokáže odpovědět.
Dá se ot odrbat určitou konfigurací. Sice mám použito pro L2TP/IPsec režim, ale pro XAUTH by o mohlo být snadno upravitelné. Předpokládám, že ta veřejka, z které děláš NAT je 88.88.88.88, IPčko na tom RB je 192.168.1.254, pak na tom RB tento ojeb:
Pro ten tvůj případ by asi mělo stačit definici peers změnit o "auth-method=pre-shared-key-xauth exchange-mode=aggressive generate-policy=port-override mode-config=XXX".
Funguje to tak, že si to fixluje přímou přítomnost veřejné IP adresy na tom routeru a příchozí IPsec spojení srcnatem přehodí na tu veřejnou IP. A ta maškaráda zase odchozí odpověď IPsecu s veřejnou IP to přehodí na tu neveřejku a z venčí to spokojeně funguje, protože ty dynamicky vygenerovaná policy si s tou veřejkou sednou. Jinak, pokud z venku forwarduješ jen porty UDP/500 a UDP/4500, tak je v tomto případě vhodné forwardovat i ESP protokol, jinak může být problém, pokud by měl klient měl náhodou přímo veřejnou IP adresu.
Dá se ot odrbat určitou konfigurací. Sice mám použito pro L2TP/IPsec režim, ale pro XAUTH by o mohlo být snadno upravitelné. Předpokládám, že ta veřejka, z které děláš NAT je 88.88.88.88, IPčko na tom RB je 192.168.1.254, pak na tom RB tento ojeb:
Kód: Vybrat vše
/interface bridge
add admin-mac=02:00:00:00:00:01 auto-mac=no name=bridge-lan protocol-mode=none
add admin-mac=02:00:00:00:00:01 auto-mac=no name=bridge-pubip protocol-mode=none
/ip address
add address=192.168.1.254/24 interface=bridge-lan network=192.168.1.0
add address=88.88.88.88 interface=bridge-pubip network=88.88.88.88
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge-lan
add action=dst-nat chain=dstnat dst-address=192.168.1.254 dst-port=500,4500 protocol=udp to-addresses=88.88.88.88
add action=dst-nat chain=dstnat dst-address=192.168.1.254 protocol=ipsec-esp to-addresses=88.88.88.88
/ip ipsec peer
add enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=port-strict local-address=88.88.88.88 passive=yes secret=TajneSdileneHeslo send-initial-contact=no
Pro ten tvůj případ by asi mělo stačit definici peers změnit o "auth-method=pre-shared-key-xauth exchange-mode=aggressive generate-policy=port-override mode-config=XXX".
Funguje to tak, že si to fixluje přímou přítomnost veřejné IP adresy na tom routeru a příchozí IPsec spojení srcnatem přehodí na tu veřejnou IP. A ta maškaráda zase odchozí odpověď IPsecu s veřejnou IP to přehodí na tu neveřejku a z venčí to spokojeně funguje, protože ty dynamicky vygenerovaná policy si s tou veřejkou sednou. Jinak, pokud z venku forwarduješ jen porty UDP/500 a UDP/4500, tak je v tomto případě vhodné forwardovat i ESP protokol, jinak může být problém, pokud by měl klient měl náhodou přímo veřejnou IP adresu.
0 x
nazdarek,
tak po dlhom ale dlhom hladani a skusani sa mi podarilo rozbehat VPN - Road Warior
tu je moj konfig
/ppp profile
/ip ipsec mode-config
add address-pool=ipsec-RW name=RW-cfg split-include=192.168.0.0/24
/ip ipsec policy group
add name=RW
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc lifetime=8h pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 auth-method=pre-shared-key-xauth dpd-interval=disable-dpd dpd-maximum-failures=1 generate-policy=port-strict \
lifetime=1w1d local-address=0.0.0.0 mode-config=RW-cfg passive=yes policy-template-group=RW secret=mojkluc
/ip ipsec policy
add dst-address=192.168.77.0/24 group=RW src-address=192.168.0.0/24 template=yes
add dst-address=0.0.0.0/0 group=RW src-address=192.168.77.0/24 template=yes
add dst-address=192.168.0.0/24 group=RW src-address=192.168.77.0/24 template=yes
/ppp profile
set *FFFFFFFE dns-server=8.8.8.8 local-address=192.168.0.1 remote-address=ipsec-RW
no bohuzial vpn funguje len z androidu, ak sa pripajama na vpn-ku windowsami tak to nefunguje - v logu dostavam
failed to get valid proposal
failed to pre-process ph1 packet (side:1, status:1)
phase 1 negotiation failed
na nete som hladal nieco co by pomohlo ale nic som nenasiel akurát ze wo windowsoch ma cez regedit nahodt jeden kluc/string, ktory som nahodil no aj tak to nefungje
Ako pisem androidom sa pekne dostanem cez VPn do ssvojej siete no windowsami nie
poradi niekto?
dakujem
tak po dlhom ale dlhom hladani a skusani sa mi podarilo rozbehat VPN - Road Warior
tu je moj konfig
/ppp profile
/ip ipsec mode-config
add address-pool=ipsec-RW name=RW-cfg split-include=192.168.0.0/24
/ip ipsec policy group
add name=RW
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc lifetime=8h pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 auth-method=pre-shared-key-xauth dpd-interval=disable-dpd dpd-maximum-failures=1 generate-policy=port-strict \
lifetime=1w1d local-address=0.0.0.0 mode-config=RW-cfg passive=yes policy-template-group=RW secret=mojkluc
/ip ipsec policy
add dst-address=192.168.77.0/24 group=RW src-address=192.168.0.0/24 template=yes
add dst-address=0.0.0.0/0 group=RW src-address=192.168.77.0/24 template=yes
add dst-address=192.168.0.0/24 group=RW src-address=192.168.77.0/24 template=yes
/ppp profile
set *FFFFFFFE dns-server=8.8.8.8 local-address=192.168.0.1 remote-address=ipsec-RW
no bohuzial vpn funguje len z androidu, ak sa pripajama na vpn-ku windowsami tak to nefunguje - v logu dostavam
failed to get valid proposal
failed to pre-process ph1 packet (side:1, status:1)
phase 1 negotiation failed
na nete som hladal nieco co by pomohlo ale nic som nenasiel akurát ze wo windowsoch ma cez regedit nahodt jeden kluc/string, ktory som nahodil no aj tak to nefungje
Ako pisem androidom sa pekne dostanem cez VPn do ssvojej siete no windowsami nie
poradi niekto?
dakujem
0 x