L2TP/IPsec

[zip]

Dobré ráno,

už nějaký den bojuji s VPNkou postavenou na protokolu L2TP s možnosti IPsec .. Připojení k VPN je bez problému .. Celý problém nastavena pokud se dva uživatelé a více přepojují ze stejné veřejné IP adresy pak není možné provést ping na daný Mikrotik. Od sledoval jsem, že ping na jednom stroji po cca 30s se zastavím a začne odpovídat druhý stroj.
Pokud postavím VPN pouze na L2TP tak je vše bez problému, celý problém je v IPsecu - nesetkal jste se s tím někdo už ..?

PS: zkoušel jsem i strýčka googla, ale možná špatně

Děkuji moc za pomoc.

[pgb]

Ano, máš správný postřeh. Tenhle problém tam je a je z důvodů jakým ipsec funguje. Nicméně mikrotik si byl vědom tohodle problému a vylepšil dynamické generování ipsec policy, že by to mělo fungovat (nicméně mi to nejede ) Jakou máš verzi ros? Hledám to teď v changelogu, ale nedaří se mi to dohledat.

edit: tak jsem to asi předtím pochopil špatně (to že to funguje), teď jsem nalezl příspěvek na fóru mikrotiku od mikrotik membera z ledna 2017
https://forum.mikrotik.com/viewtopic.php?t=72198

Single L2TP/Ipsec client will work behind nat and no specific configuration is needed. If you have multiple clients behind same public IP then you may get a problem.

[zip]

Používám poslední verzi systému ... Koukal jsem se na daný manuál a nenašel sem tam nic speciálního ohledně toho IPsecu ..

[zip]

Nikoho nic nenapadá ..?

[kor3k]

pokud můžeš tak použij místo toho SSTP

[sestnastka]

co sa SSTP tyka, vedel by si mi poradit ohladom certifikatu ? pretoze tam to vsetko zlyhava umna... ako klienta mam W10

[mirek.k]

co sa SSTP tyka, vedel by si mi poradit ohladom certifikatu ? pretoze tam to vsetko zlyhava umna... ako klienta mam W10

Před pár dny jsem to řešil podle: ​https://www.medo64.com/2017/01/simple-sstp-server-on-mikrotik/
Zcela bez problémů.
Mirek

[sestnastka]

Do common name si zadaval tvoju verejnu IP ? Pretoze ja som tam daval verejnu... btw cekni toto, posledna hlaska... diky za kazdu radu, konecne sa niekto ozval kto SSTP pouziva

Kód: Vybrat vše

[admin@Sestnastka_ROUTER] > /certificate
[admin@Sestnastka_ROUTER] /certificate> add name=ca common-name=81.162.xx.xx days-valid=3650
key-size=2048 key-usage=crl-sign,key-cert-sign
[admin@Sestnastka_ROUTER] /certificate> add name=server common-name=81.162.xx.xx days-valid=3
650 key-size=2048  key-usage=digital-signature,key-encipherment,tls-server
[admin@Sestnastka_ROUTER] /certificate> add name=client common-name=81.162.xx.xx days-valid=3
650 key-size=2048 key-usage=tls-client
[admin@Sestnastka_ROUTER] /certificate> sign ca name=ca-certificate
[admin@Sestnastka_ROUTER] /certificate> sign server name=server-certiificate ca=ca-certificate

[admin@Sestnastka_ROUTER] /certificate> sign client name=client-certificate ca=ca-certificate
failure: certificate with the same subject exists!

[mirek.k]

Veřejná IP, nebo URL jsou v pořádku.
Zkus ten poslední příkaz znovu.
Mně se v dávce neprovedly ty poslední dva "sign", ale pak samostatně prošly.
Mirek

[sestnastka]

Nefunguje to - aj ked to skusam klasicky cez winbox alebo konzolu...

[mirek.k]

Nefunguje to - aj ked to skusam klasicky cez winbox alebo konzolu...

Tak je potřeba se podívat do Certificates, co tam již je.

[kor3k]

já jsem to dělal podle tohoto návodu a funguje

https://www.dr0u.com/mikrotik-setup-sstp-server-for-windows-10-client/

[kor3k]

ještě pro doplnění k SSTP - pokud je klientem také mikrotik, tak certifikát není potřeba