L2TP/IPSEC

[hellboycze]

Zdravim. Mate nekdo zkusenost s nastavenim L2TP/IPSEC VPN pro (nejen) Windows klienty? Nedari se mi to nastavit. Mimo jine to skonci chybou phase1 negotiation failed due to time up. Uz si s tim opravdu nevim rady. Diky za jakykoliv podnet.

[Fang]

V minulosti jsem používal nicméně jsem v pozdějších verzích MK v6 začal narážet na různé problémy jako popisuješ. Mimo to se mi nikdy nepodařilo donutit klienta z Windows používat něco jiného než MD5-AES (přenastaveno přes IPSEC manager v mmc). Problémy s L2TP/IPSEC může způsobovat i NAT po cestě, obecně mi IPSEC s NATem příjde takovej dost krkolomnej. Vyžaduje hromadu portů a protokolů co musí být povolena což v znamená že pokud jedna z těhlech věcí nejde tak nejde ani VPNka. Moje rada je zkus na MK SSTP VPN, běhá po standardním HTTPs portu a od té doby co ho používám pro "road warriory" sem s ním neměl problém.

[maartinek]

Mate nekdo zkusenost s nastavenim L2TP/IPSEC...

Pokud je to téma ještě aktuální, tak mám zkušeností mnoho. Tedy řešil jsem to hodně někdy v zimě a s konfigurací mi pomáhal jeden zdejší velice hodný pán, ale nakonec se vše povedlo. Navíc tam měl Mikrotik asi nějaký bug... Nicméně nyní vše funguje. Používám právě L2TP/IPSEC kombinaci se zařizeníma s Win, Android a jiné Mikrotiky a vše bez problémů. Tak kdyžtak napiš.

[basty]

Mate nekdo zkusenost s nastavenim L2TP/IPSEC...

Pokud je to téma ještě aktuální, tak mám zkušeností mnoho. Tedy řešil jsem to hodně někdy v zimě a s konfigurací mi pomáhal jeden zdejší velice hodný pán, ale nakonec se vše povedlo. Navíc tam měl Mikrotik asi nějaký bug... Nicméně nyní vše funguje. Používám právě L2TP/IPSEC kombinaci se zařizeníma s Win, Android a jiné Mikrotiky a vše bez problémů. Tak kdyžtak napiš.

Super, hodis konf?

[maartinek]

Tak, zde je moje konfigurace. Připojuji se z platforem Mikrotik, Windows 7/10, Android a Windows Phone. Prosím, pokud tam někdo najde něco, co vylepšit, budu jen rád, protože vždy je co vylepšit.... Snad jsem na nic nezapomněl.

IP adresy 192.168.xx.xx si samozřejmě nahraďte svýma platnýma IP.

Kód: Vybrat vše

/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp/ipsec enabled=yes max-mru=1460 max-mtu=1460

/ppp profile
add address-list=VPN change-tcp-mss=yes incoming-filter=rw-in local-address=192.168.xx.xx name=l2tp/ipsec remote-address=pool-vpn use-encryption=required use-upnp=no

/ppp secret
add name=JmenoUzivatele password="TajneHeslo123" profile=l2tp/ipsec service=l2tp

/ip pool
add name=pool-vpn ranges=192.168.xx.xx-192.168.xx.xx

/ip dhcp-server network
add address=192.168.xx.xx/24 comment=VPN gateway=192.168.xx.xx netmask=24

/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp generate-policy=port-override local-address=0.0.0.0 passive=yes policy-template-group=gr-l2tp/ipsec secret=PreSharedKeyPWD send-initial-contact=no

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des pfs-group=modp4096
add enc-algorithms=aes-256-cbc name=prop-l2tp/ipsec pfs-group=modp4096

/ip firewall filter
add action=accept chain=input comment="Nepust dovnitr L2TP  bez IPsec obalky" dst-port=1701 ipsec-policy=in,ipsec log-prefix="" protocol=udp
add action=drop chain=input dst-port=1701 log-prefix="" protocol=udp
add action=accept chain=output comment="Nepust ven L2TP odpoved serveru bez IPsec obalky" ipsec-policy=out,ipsec log-prefix="" protocol=udp src-port=1701
add action=reject chain=output log-prefix="" protocol=udp reject-with=icmp-network-unreachable src-port=1701
add action=accept chain=input comment="wan-in: IPsec, IKEv1, IPsec over UDP" connection-state=new log-prefix="" protocol=ipsec-esp
add action=accept chain=input connection-state=new dst-port=500,4500 log-prefix="" protocol=udp
add action=jump chain=input comment="filtr na data od road-warriors" jump-target=ppp log-prefix=""
add action=jump chain=forward jump-target=ppp log-prefix=""
add action=accept chain=rw-in comment="=== rw-in: co jde od road-warriors pres VPN povolit" connection-state=new log-prefix=""


[david86]

Existuje nejake funkcni reseni pro vice klientu pripojenych za jednim natem? Kdy je problem s IPsecem... Viz http://forum.mikrotik.com/viewtopic.php?t=82980

Jeste bych se zeptal, jakou uroven HASH a DH pouzivate? Android 6, se mi nechce spojit s SHA256, presto, ze jsem se docetl, ze od SHA1 pomalu android ustupuje a preferuje SHA256.
Na MACu mi po aktualizaci OS funguje dobre v kombinaci SHA256, AES-256 CBC, MODP2048.
Resp. jde mi o max. moznou uroven zabezpeceni, ktera bude fungovat na ANDROIDU - aktualne 6.0, IPHONU a na MACU - vse s poslednim OS.

[mohicanos]

to: martinek

Ahoj skusil som to s tvojou konfiguracou L2TP/ipsec no bohuzial to nefunguje
v logu je akurát FIRST L2TP UDP packet received from .... ale dalej nic
v Policies sa dynamicky vytvori zaznam kde src adresa je moja verejna IP a dst adresa je verejna IP odkial sa pripojujem, neviem ci to je spravne, ale asi nie, podla mna by tam mala byt src?VPN pool com som vytvrol a DST Adresa by mala byt Ip adresa routru, ci nie?

vdaka za odpoved

[Majklik]

Ty SA pravidla jsou fakticky vygenerované obousměrně, ale ROS ti ukazje jen jeden směr, takže to je OK.
Pokud ti dokde první L2TP paket, tak IPsec se ustanovil a funguje minimálně směrme k tobě.
Jak jsi na tom s tou veřejnou IPv4 adresou? Máš ji přímo na svém routeru nebo dělá ISP na tebe NAT1:1 někde u sebe?
Pokud je ti konktivita doručována pomocí DSTNATu, tak v tom případě ROS neumí správně vygenerovat ty dynamické SA pravidla a nefunguje to (respektive k tobě to dojde, ale odpověď zpět jde už mimo IPsec. Projevuje se to jak popisuješ, hlásí ti to, že došel první L2TP paket a dál už nic.
Pokud je tomu tak, tak takovou malou flignou to jde nastavit v tom Mikrotiku, aby to fungovalo.

[hocimin1]

Pokud je tomu tak, tak takovou malou flignou to jde nastavit v tom Mikrotiku, aby to fungovalo.

A jaka je ta ficura

[Majklik]

Fičura ne, spíše podvod s dvojitým NATem. Řekněme, že jsem připojen přes fuj ISPíka, co mi doručuje veřejnou IP přes DSTNAT 1:1 na jeho bráně, kdy veřejku mám 198.51.100.66 a na wan portu ether1 svého routeru mám neveřejnou IP adresu 100.99.88.77, pak to vypadá takto:

Kód: Vybrat vše

/interface bridge
add admin-mac=02:00:00:00:00:01 auto-mac=no name=bridge-pubip protocol-mode=none
/ip address
add address=100.99.88.77/24 interface=ether1
add address=198.51.100.66/32 interface=bridge-pubip
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-address=100.99.88.77 dst-port=500,4500 protocol=udp to-addresses=198.51.100.66
add action=dst-nat chain=dstnat dst-address=100.99.88.77 protocol=ipsec-esp to-addresses=198.51.100.66


Tímto si tu veřejku posunu z CGN na svůj rotuer, příchozí spojení na IPsec přenatuje pakety jdoucí na neveřejku na veřejku a odpověď převede zpět na neveřejku ta maškráda. Toto způsobí, že dynamicky vegenerované SA policy pro L2TP/IPsec server, které nevezme v potaz NAT na straně serveru, si sedne a funguje to jak má a komunikace se vrcí do IPsec tansportu a neutíká bokem. Je vhodné u /ip ipsec peer mít definováno natvrdo svoji zdrojovou adresu na to 198.51.100.66.
Aneb, NAT1:1 na CGN je zlo.

[hocimin1]

ted se na jednom serveru dostava k problemu

16:53:17 ipsec,debug failed to get proposal.
16:53:17 ipsec,error failed to pre-process ph2 packet

a na jinem to bezi v pohode.

ten kde to hazi chybu do logu je x86 s 6.24 a kde to bezi OK je RB951G-2HnD s 6.32.4

[koldavideo]

Zdravím vás,
předně bych chtěl říct že jsem zatím začátečník. Snažím se spojit 2 mikrotiky (chata, RD) jako klienty s hlavním mikrotikem - serverem na firmě. Použil jsem L2TP VPN bez IPSec a vše chodilo jak mělo. Klient z chaty (10.0.2.0/24 - user2) se připojuje pomocí LTE modemu, kde mám i skript který hlídá ping na google, takže když spadle připojení, provede se restart. Hlavní mikrotik má veřejnou IP adresu, je za ADSL modemem a je v DMZ zóně. Další mikrotik z rodiného domu (10.0.1.0/24 - user1)se připojuje také jako klient L2TP. Veškeré problémy začaly ale když jsem připojoval iphone do vpn. Narazil jsem na to, že apple nepodporoval L2TP bez sdíleného klíče. Protože jsem na to neusále nemohl přijít, nastavil jsem na telefonu klienta pptp. Bohužel jen do doby příchodu ios10, kde už pptp není. Takže mi nezbývá než najít řešení pomocí L2TP + IPSec. Popravdě jsem z toho už naprosto zoufalý:-(
udělal jsem export z firemního - hlavního mikrotiku, kde je spuštěný l2tp server. Můžete mi prosím napsat kde je chyba. Určitě mám v nastavení plno zmatených nastavení, které vznikaly při pokusech. Každopádně teď to běží s tímto kódem a klienti se dále připojují bez ipsec - což nechápu.
MŮŽETE MI PROSÍM PORADIT?
DĚKUJI

Kód: Vybrat vše

# nov/02/2016 14:43:18 by RouterOS 6.37.1
# software id = REJ2-MPPT
#
/interface bridge
add admin-mac=DE:CA:66:06:EE:B7 auto-mac=no mtu=1500 name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country="czech republic" disabled=no distance=indoors mode=ap-bridge ssid=\
    wifi_net wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=\
    ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=\
    ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=\
    ether5-slave-local
/ip neighbor discovery
set ether1-gateway discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    wpa-pre-shared-key=123456789 wpa2-pre-shared-key=123456789

/ip ipsec policy group
add name=L2TP_IPSec

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
    aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=8h pfs-group=modp4096
add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=8h name=\
    prop_L2TP_IPSec pfs-group=modp4096

/ip pool
add name=DHCP_pool ranges=192.168.88.101-192.168.88.254
add name=VNP_pool ranges=192.168.88.90-192.168.88.99

/ip dhcp-server
add address-pool=DHCP_pool disabled=no interface=bridge-local name=default

/ppp profile
set *0 change-tcp-mss=default
add address-list=192.168.88.90-192.168.88.99 change-tcp-mss=yes dns-server=\
    8.8.8.8 incoming-filter=rw-in local-address=192.168.88.1 name=L2TP_IPSec \
    remote-address=VNP_pool use-encryption=required use-upnp=no

/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether1-gateway

/interface l2tp-server server
set authentication=mschap2 default-profile=L2TP_IPSec enabled=yes ipsec-secret=\
    heslo max-mru=1460 max-mtu=1460 mrru=1600 use-ipsec=yes

/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2

/ip address
add address=192.168.88.1/24 comment="default configuration" interface=\
    ether2-master-local network=192.168.88.0
add address=192.168.121.170/24 disabled=yes interface=ether1-gateway network=\
    192.168.121.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    bridge-local
/ip dhcp-server lease
add address=192.168.88.124 mac-address=B8:27:EB:8E:D0:DF server=default
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.88.100
/ip dns static
add address=192.168.88.1 name=router
add address=192.168.10.1 name=Helemik
/ip firewall filter
add action=accept chain=input comment="Nepustit dovnitr L2TP bez IPSec obalky" \
    dst-port=1701 ipsec-policy=in,none protocol=udp
add action=drop chain=input dst-port=1701 protocol=udp
add action=accept chain=output comment="Nepustit ven L2TP bez IPSec obalky" \
    ipsec-policy=out,none protocol=udp src-port=1701
add action=reject chain=output protocol=udp reject-with=\
    icmp-network-unreachable src-port=1701
add action=accept chain=input comment="wan-in: IPSec, IKE1, IPSec over UDP" \
    connection-state=new protocol=ipsec-esp
add action=accept chain=input comment="VPN Iphone" connection-state=new \
    dst-port=500,4500 protocol=udp
add action=jump chain=input comment="Filtr na dat od road-warriors" \
    jump-target=ppp
add action=jump chain=forward jump-target=ppp
add action=accept chain=rw-in comment=\
    "===rw-in: co jde od road warriors pres VPN povolit" connection-state=new
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input dst-port=80 protocol=tcp
add action=accept chain=input protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
    ""
add action=accept chain=forward comment="default configuration" \
    connection-state=""
add action=drop chain=forward comment="default configuration" connection-state=\
    ""
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat comment="IP kamera" disabled=yes dst-port=\
    7011 protocol=tcp to-addresses=192.168.88.11 to-ports=7000

/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,3des exchange-mode=main-l2tp \
    generate-policy=port-override local-address=0.0.0.0 passive=yes \
    policy-template-group=L2TP_IPSec secret=heslo send-initial-contact=no
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=L2TP_IPSec proposal=prop_L2TP_IPSec protocol=\
    ipsec-esp src-address=0.0.0.0/0 template=yes
/ip proxy
set cache-path=web-proxy1
/ip route
add distance=1 gateway=192.168.88.100
add distance=1 dst-address=10.0.0.0/16 gateway=192.168.88.1 scope=255
add distance=1 dst-address=10.0.1.0/24 gateway=10.0.1.254 scope=255
add distance=1 dst-address=10.0.2.0/24 gateway=10.0.2.254 scope=255
add distance=1 dst-address=10.0.4.254/32 gateway=*86 pref-src=192.168.88.1 \
    scope=10
/ip service
set telnet disabled=yes
set ssh port=1022
set www-ssl disabled=no

/ppp secret
add local-address=192.168.88.1 name=user1 password=heslo profile=\
    default-encryption remote-address=10.0.1.254 service=l2tp

add local-address=192.168.88.1 name=user2 password=heslo profile=\
    default-encryption remote-address=10.0.2.254 service=l2tp

add local-address=192.168.88.1 name=user3 password=heslo remote-address=\
    10.0.3.254 service=l2tp

add name=notebook password=heslo profile=L2TP_IPSec service=l2tp

add comment=L2TP-IPSec name=user4 password=heslo profile=L2TP_IPSec \
    service=l2tp

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Prague
/system leds
set 0 interface=wlan1
/system routerboard settings
set init-delay=0s
/tool graphing interface
add interface=ether1-gateway
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local



[Majklik]

Máš to už mtečné u toho, že jsi udělal bridge-local a do něj dal ether1, wlan1 a ether2 a na tom bridge nemáš IP adresu, ale máš ji na ether1 a ether2.
Dále tím, že máš ten Mikrotik v DMZ zóně, kdy veřejná IP adresa končí na tom ADSL modemu, tak máš NAT na straně L2TP/IPsec serveru a tam je problém, co jsme popisoval o dva příspěvk výše.
Zvážil bych, že dám ADSL modem do bridge režimu a spojneí se tak ukončí jako PPPoE klient přímo na tom mikrotiku a pak bude lépe. Jinak budeš muset nakonfigurovat tu šaškárnu, co jsme popisoval výše....

[koldavideo]

Super,
díky moc.
V první řadě tedy přenastavím modem (Zyxel vmg1312-b30b) do režimu bridge.
Po té vyzkouším nastavení mikrotiku podle doporučení zde: http://wiki.mikrotik.com/wiki/How_to_Co ... _xDSL_Line
Snad se mi to podaří.
Každopádně to vzdáleně udělat určitě nepůjde, takže tam budu muset zajet.
Hned pak sdělím mé pokroky.
Zatím moc děkuji.

[zdenek.svarc]

Existuje nejake funkcni reseni pro vice klientu pripojenych za jednim natem? Kdy je problem s IPsecem... Viz http://forum.mikrotik.com/viewtopic.php?t=82980

Řešení bude v následující verzi 6.38, viz http://www.mikrotik.com/download/changelogs

!) ipsec - added support unique policy generation which will allow multiple peers behind the same NAT (cli only);