RG493G nefungující nastavení L2TP

[cz01]

Dobrý den,

snažím se nakonfigurovat VPN připojení přes L2TP/IP sec na mikrotiku, ale zatím se mi nedaří - PPTP připojení jsem na něm rozfungoval a funguje korektně. Jelikož nemám mnoho zkušeností s konfigurací na mikrotiku, pouze nějaké základy, tak jsem Vás chtěl požádat o pomoc.

L2TP / IP sec konfiguraci jsem prováděl podle návodu zde

Kód: Vybrat vše

https://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/

.

Podle zapnutých logů na mikrotiku l2tp a ipsec usuzuju, že problém je v řádce

Kód: Vybrat vše

10:43:07 ipsec,debug invalid length of payload

Windows 10 client mi hlásí chybu

Kód: Vybrat vše

The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer

Mikrotik log

Kód: Vybrat vše

10:42:52 ipsec,debug,packet 81c119cd a0cf63f5
10:42:52 ipsec,debug,packet encryption(3des)
10:42:52 ipsec,debug,packet with key:
10:42:52 ipsec,debug,packet 78112fa0 d9547320 07d26e8e 604436c4 fe733aab 92cbfb03
10:42:52 ipsec,debug,packet decrypted payload by IV:
10:42:52 ipsec,debug,packet e5be8190 c249532a
10:42:52 ipsec,debug,packet decrypted payload, but not trimed.
10:42:52 ipsec,debug,packet 4c3474c4 2ea99c81 1f70d5af 88d08df0 7f3c5ec1 4fb27e4b 59994f42 0e641c22
10:42:52 ipsec,debug,packet 5ed604fd cfcc702f
10:42:52 ipsec,debug,packet padding len=48
10:42:52 ipsec,debug,packet skip to trim padding.
10:42:52 ipsec,debug,packet decrypted.
10:42:52 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 05100201 00000000 00000044 4c3474c4
10:42:52 ipsec,debug,packet 2ea99c81 1f70d5af 88d08df0 7f3c5ec1 4fb27e4b 59994f42 0e641c22 5ed604fd
10:42:52 ipsec,debug,packet cfcc702f
10:42:52 ipsec,debug,packet begin.
10:42:52 ipsec,debug,packet seen nptype=5(id)
10:42:52 ipsec,debug invalid length of payload
10:42:55 ipsec,debug,packet 188 bytes from MIKROTIK-VPN-SERVER-PUBLIC-IP[500] to MY-PUBLIC-IP[500]
10:42:55 ipsec,debug,packet sockname MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:42:55 ipsec,debug,packet send packet from MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:42:55 ipsec,debug,packet send packet to MY-PUBLIC-IP[500]
10:42:55 ipsec,debug,packet src4 MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:42:55 ipsec,debug,packet dst4 MY-PUBLIC-IP[500]
10:42:55 ipsec,debug,packet 1 times of 188 bytes message will be sent to MY-PUBLIC-IP[500]
10:42:55 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 04100200 00000000 000000bc 0a000084
10:42:55 ipsec,debug,packet 23d633dc d4cd88f9 94313496 f4841520 6131cd2a c53d05fd dfceaa3b ddd9d9bb
10:42:55 ipsec,debug,packet 46f663d4 f2980f87 5154523e bce95549 3f2a9850 7f8ab958 e3f8f4f7 192ab79d
10:42:55 ipsec,debug,packet 4999da1b 535127fe c7d42aeb a7716030 0707dfdb fddefcfc 3ba1f8d7 7281197b
10:42:55 ipsec,debug,packet 21c46ad0 7bc60280 cc54202a e47529c2 635fec7a 5430f184 31282440 dadb153f
10:42:55 ipsec,debug,packet 0000001c 8075b68a 1c7d2ae8 01ba96ca c85dc068 b7b116b6 2f995df1
10:42:55 ipsec,debug,packet resend phase1 packet 998a13d3edf07965:7623fd53694088d0
10:43:05 ipsec,debug,packet 188 bytes from MIKROTIK-VPN-SERVER-PUBLIC-IP[500] to MY-PUBLIC-IP[500]
10:43:05 ipsec,debug,packet sockname MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:43:05 ipsec,debug,packet send packet from MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:43:05 ipsec,debug,packet send packet to MY-PUBLIC-IP[500]
10:43:05 ipsec,debug,packet src4 MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:43:05 ipsec,debug,packet dst4 MY-PUBLIC-IP[500]
10:43:05 ipsec,debug,packet 1 times of 188 bytes message will be sent to MY-PUBLIC-IP[500]
10:43:05 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 04100200 00000000 000000bc 0a000084
10:43:05 ipsec,debug,packet 23d633dc d4cd88f9 94313496 f4841520 6131cd2a c53d05fd dfceaa3b ddd9d9bb
10:43:05 ipsec,debug,packet 46f663d4 f2980f87 5154523e bce95549 3f2a9850 7f8ab958 e3f8f4f7 192ab79d
10:43:05 ipsec,debug,packet 4999da1b 535127fe c7d42aeb a7716030 0707dfdb fddefcfc 3ba1f8d7 7281197b
10:43:05 ipsec,debug,packet 21c46ad0 7bc60280 cc54202a e47529c2 635fec7a 5430f184 31282440 dadb153f
10:43:05 ipsec,debug,packet 0000001c 8075b68a 1c7d2ae8 01ba96ca c85dc068 b7b116b6 2f995df1
10:43:05 ipsec,debug,packet resend phase1 packet 998a13d3edf07965:7623fd53694088d0
10:43:07 ipsec,debug,packet ==========
10:43:07 ipsec,debug,packet 68 bytes message received from MY-PUBLIC-IP[500] to MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:43:07 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 05100201 00000000 00000044 617cebe2
10:43:07 ipsec,debug,packet ee90eaaa 04a061da 1eeacfce 76852e81 0a184105 ae6f8733 dabb02f2 81c119cd
10:43:07 ipsec,debug,packet a0cf63f5
10:43:07 ipsec,debug,packet encryption(3des)
10:43:07 ipsec,debug,packet IV was saved for next processing:
10:43:07 ipsec,debug,packet 81c119cd a0cf63f5
10:43:07 ipsec,debug,packet encryption(3des)
10:43:07 ipsec,debug,packet with key:
10:43:07 ipsec,debug,packet 78112fa0 d9547320 07d26e8e 604436c4 fe733aab 92cbfb03
10:43:07 ipsec,debug,packet decrypted payload by IV:
10:43:07 ipsec,debug,packet e5be8190 c249532a
10:43:07 ipsec,debug,packet decrypted payload, but not trimed.
10:43:07 ipsec,debug,packet 4c3474c4 2ea99c81 1f70d5af 88d08df0 7f3c5ec1 4fb27e4b 59994f42 0e641c22
10:43:07 ipsec,debug,packet 5ed604fd cfcc702f
10:43:07 ipsec,debug,packet padding len=48
10:43:07 ipsec,debug,packet skip to trim padding.
10:43:07 ipsec,debug,packet decrypted.
10:43:07 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 05100201 00000000 00000044 4c3474c4
10:43:07 ipsec,debug,packet 2ea99c81 1f70d5af 88d08df0 7f3c5ec1 4fb27e4b 59994f42 0e641c22 5ed604fd
10:43:07 ipsec,debug,packet cfcc702f
10:43:07 ipsec,debug,packet begin.
10:43:07 ipsec,debug,packet seen nptype=5(id)
10:43:07 ipsec,debug invalid length of payload
10:43:15 ipsec,debug,packet 188 bytes from MIKROTIK-VPN-SERVER-PUBLIC-IP[500] to MY-PUBLIC-IP[500]
10:43:15 ipsec,debug,packet sockname MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:43:15 ipsec,debug,packet send packet from MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:43:15 ipsec,debug,packet send packet to MY-PUBLIC-IP[500]
10:43:15 ipsec,debug,packet src4 MIKROTIK-VPN-SERVER-PUBLIC-IP[500]
10:43:15 ipsec,debug,packet dst4 MY-PUBLIC-IP[500]
10:43:15 ipsec,debug,packet 1 times of 188 bytes message will be sent to MY-PUBLIC-IP[500]
10:43:15 ipsec,debug,packet 998a13d3 edf07965 7623fd53 694088d0 04100200 00000000 000000bc 0a000084
10:43:15 ipsec,debug,packet 23d633dc d4cd88f9 94313496 f4841520 6131cd2a c53d05fd dfceaa3b ddd9d9bb
10:43:15 ipsec,debug,packet 46f663d4 f2980f87 5154523e bce95549 3f2a9850 7f8ab958 e3f8f4f7 192ab79d
10:43:15 ipsec,debug,packet 4999da1b 535127fe c7d42aeb a7716030 0707dfdb fddefcfc 3ba1f8d7 7281197b
10:43:15 ipsec,debug,packet 21c46ad0 7bc60280 cc54202a e47529c2 635fec7a 5430f184 31282440 dadb153f
10:43:15 ipsec,debug,packet 0000001c 8075b68a 1c7d2ae8 01ba96ca c85dc068 b7b116b6 2f995df1
10:43:15 ipsec,debug,packet resend phase1 packet 998a13d3edf07965:7623fd53694088d0
10:43:17 l2tp,ppp,debug,packet  pptp-out1: rcvd LCP EchoReq id=0x38
10:43:17 l2tp,ppp,debug,packet     <magic 0x4db3c371>
10:43:17 l2tp,ppp,debug,packet  pptp-out1: sent LCP EchoRep id=0x38
10:43:17 l2tp,ppp,debug,packet     <magic 0x7a7e756b>
10:43:25 ipsec,debug phase1 negotiation failed due to time up. 998a13d3edf07965:7623fd53694088d0
10:43:37 l2tp,debug,packet sent control message to 90.178.199.162:1701
10:43:37 l2tp,debug,packet     tunnel-id=613, session-id=0, ns=70, nr=68
10:43:37 l2tp,debug,packet     (M) Message-Type=HELLO
10:43:37 l2tp,debug,packet rcvd control message (ack) from 90.178.199.162:1701
10:43:37 l2tp,debug,packet     tunnel-id=3063, session-id=0, ns=68, nr=71
10:43:37 l2tp,debug,packet rcvd control message from 90.178.199.162:1701
10:43:37 l2tp,debug,packet     tunnel-id=3063, session-id=0, ns=68, nr=71
10:43:37 l2tp,debug,packet     (M) Message-Type=HELLO
10:43:37 l2tp,debug,packet sent control message (ack) to 90.178.199.162:1701
10:43:37 l2tp,debug,packet     tunnel-id=613, session-id=0, ns=71, nr=69


Pre shared key jsem x krát kontroloval a měl by být stejný, jak na mikrotiku, tak i na klientovi

Verze Router OS 5.6

[cz01]

Napadá někoho, na co bych se měl soustředit a v čem může být problém (zavřené porty po cestě, ...) ? Pokud je potřeba doplnit další informace, prosím o info které.

Díky

[Majklik]

Pokud tma máš doopravdy ROS5.6, tak bych začal upgradem na něco aktuálního v řadě 6.x, protože se věci kolem L2TP/IPsec dost změnily.

[cz01]

Lehce jsem koukal do change logu, o víkendu se budu stavovat do domu, kde je mikrotik umístěn (mikrotik mají u sebe rodiče) a hodlám ho upgradovat, po VPN toto nepřipadá v úvahu

Upgraduji a uvidím, zda to pomohlo.

[Majklik]

Zkus tam dát 6.33.3. S ní mám proti Windows 7 vyzkoušenu následující konfiguraci, pro Win 10 by mohla fungovat také, pro starší WinXP po drobné úravě při povolení slabších šiferm/DH/hashů. Předpokládám, že budeš chtít naIPsec vrstvě použít sdlená hesla (v reálu používám certifikáty), takže IPsec vrstva:

Kód: Vybrat vše

/ip ipsec policy group
add name=gr-l2tp/ipsec
/ip ipsec proposal
add auth-algorithms=sha1,sha256 enc-algorithms=aes-256-cbc lifetime=1h name=prop-l2tp/ipsec pfs-group=modp4096
/ip ipsec policy
add group=gr-l2tp/ipsec proposal=prop-l2tp/ipsec template=yes
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=main-l2tp generate-policy=port-override local-address=0.0.0.0 passive=yes policy-template-group=gr-l2tp/ipsec secret=TajneHeslo send-initial-contact=no


Toto by mělo stačit v IPsecu na to, aby ti to obalilo funkční L2TP. V L2TP a PPP, pro jistotu, mám něco jako:

Kód: Vybrat vše

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 incoming-filter=rw-in local-address=10.84.255.172 name=l2tp/ipsec use-upnp=no
/ppp secret
add name=test password=TEST profile=l2tp/ipsec remote-address=10.84.255.173 service=l2tp
/interface l2tp-server server
set authentication=chap,mschap2 default-profile=l2tp/ipsec enabled=yes max-mru=1400 max-mtu=1400


A je vhodné pořešit i firewall. Na začátku, ještě před sekcí, která povoluje automaticky vše estalished,related:

Kód: Vybrat vše

/ip firewall filter
add chain=input comment="Nepust dovnitr L2TP  bez IPsec obalky" dst-port=1701 ipsec-policy=in,ipsec protocol=udp
add action=drop chain=input dst-port=1701 protocol=udp
add chain=output comment="Nepust ven L2TP odpoved serveru bez IPsec obalky" ipsec-policy=out,ipsec protocol=udp src-port=1701
add action=reject chain=output protocol=udp src-port=1701


Potom i povolit vlastní příchozí IPsec:

Kód: Vybrat vše

add chain=input comment="wan-in: IPsec, IKEv1, IPsec over UDP" connection-state=new protocol=ipsec-esp
add chain=input connection-state=new dst-port=500,4500 protocol=udp


A pak je vhodné povolit i to, co pak přileze vnitřkem toho L2TP tunelu:

Kód: Vybrat vše

add action=jump chain=input comment="filtr na data od road-warriors" jump-target=ppp
add action=jump chain=forward jump-target=ppp
add chain=rw-in comment="=== rw-in: co jde od road-warriors pres VPN povolit" connection-state=new


Toť vše.

[cz01]

Dnes jsem se dostal k nahrání aktuální verze, použil jsem 6.33.5, ale přesto mi L2TP VPN nefungovala - zkusil jsem tedy přiloženou konfiguraci a ta už funguje korektně.

Při hledání rozdílů v konfiguraci jsem narazil na tyto rozdíly:
- /ppp profile - remote address - má verze obsahovala vyplněný DHCP pool, v návodu tady chybí vyplněno
- jako local address jsem vyplnil vnitřní ip adresu mikrotik routeru, u remote address předpokládám, že slouží k přidělení ip adresy pro l2tp připojení - proč tedy nemusí být vyplněno a přesto to funguje?
- tento rozdíl tedy nezpůsobuje nefunkčnost připojení L2TP - zkoušel jsem použít mojí profile konfiguraci a v pořádku jsem se připojil

- /ppp secrets - remote address - zde v návodu je vyplněno, v mé verzi toto vyplněno nebylo a nemohl jsem se bez toho připojit
- k čemu tedy slouží local a remote address v této sekci a co se tam má vyplnit?
- já tedy pro remote address vyplnil volnou ip adresu vnitřní sítě
- pro PPTP spojení remote address nemám vyplněno a funguje mi také

- /ip sec peers - zde to bylo pár drobností - send initial contact a měl jsem větší podmnožinu algoritmů

Tímto bych vám chtěl poděkovat za pomoc při rozchození VPN

[vajkooo]

Ahojte,
potreboval by som pomoct s rovnakym problemom. Vyskusal som konfiguraciu vyssie ale nepomohlo to vyriesit moj problem. Vedeli by ste mi prosim poradit co to este moze byt?
Dakujem

[maartinek]

Zkus se podivat sem: https://ispforum.cz/viewtopic.php?p=195465#p195465