Mikrotik first l2tp udp packet received from: First l2tp udp packet received from mikrotik

Содержание

First l2tp udp packet received from mikrotik

При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.

Proxy-arp на внутреннем бридже

При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.

Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.

Глюк default policy на микротик

При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph3 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).

Решение: удалить созданную по умолчанию группу в меню IP – IPSec – Groups, создать новую и указать ее в IP – IPSec – Peers в поле Policy Template Group.

По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:

ip ipsec peer set 0 policy-template-group=*FFFFFFFF

Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.

Ошибки firewall на всех этапах

Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input – серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.

Есть маршрутизатор RB-951G-2Hnd
Была необходимость на днях настроить l2tp/ipsec. Настроил и все чудно работает, логины пароли ни кому не давал, однако теперь в логах вижу:
02:25:18 l2tp,debug,packet rcvd control message from 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel- > 02:25:18 l2tp,debug,packet (M) Message-Type=SCCRQ
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0

02:25:18 l2tp,debug,packet Firmware-Revision=0x601
02:25:18 l2tp,debug,packet (M) Host-Name=»T450-150520-NB»
02:25:18 l2tp,debug,packet Vendor-Name=»Microsoft»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:18 l2tp,debug,packet (M) Receive-Window-Size=8
02:25:18 l2tp,info first L2TP UDP packet received from 183.60.48.25
02:25:18 l2tp,debug tunnel 49 entering state: wait-ctl-conn
02:25:18 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel- > 02:25:18 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x1
02:25:18 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:18 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:18 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:19 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:19 l2tp,debug,packet tunnel- > 02:25:19 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:19 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:19 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:19 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:19 l2tp,debug,packet Firmware-Revision=0x1
02:25:19 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:19 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:19 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:19 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:20 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:20 l2tp,debug,packet tunnel- > 02:25:20 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:20 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:20 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:20 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:20 l2tp,debug,packet Firmware-Revision=0x1
02:25:20 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:20 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:20 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:20 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:22 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:22 l2tp,debug,packet tunnel- > 02:25:22 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:22 l2tp,debug,packet Firmware-Revision=0x1
02:25:22 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:22 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:22 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:22 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:26 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:26 l2tp,debug,packet tunnel- > 02:25:26 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:26 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:26 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:26 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:26 l2tp,debug,packet Firmware-Revision=0x1
02:25:26 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:26 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:26 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:26 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:34 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:34 l2tp,debug,packet tunnel- > 02:25:34 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:34 l2tp,debug,packet Firmware-Revision=0x1
02:25:34 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:34 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:34 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:34 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:42 l2tp,debug tunnel 49 received no replies, disconnecting
02:25:42 l2tp,debug tunnel 49 entering state: dead

На протяжении дня ситуация повторяется меняются только IP и порты.
Не совсем понимаю, ломают или уже взломали?

Jeroen W. Pluimers on .NET, C#, Delphi, databases, and personal interests

Subscribe

September 2017
M
T W T F S S
« Aug Oct »
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30

Archives

  • November 2019 (39)
  • October 2019 (73)
  • September 2019 (68)
  • August 2019 (66)
  • July 2019 (68)
  • June 2019 (68)
  • May 2019 (72)
  • April 2019 (73)
  • March 2019 (64)
  • February 2019 (68)
  • January 2019 (78)
  • December 2018 (87)
  • November 2018 (77)
  • October 2018 (79)
  • September 2018 (77)
  • August 2018 (76)
  • July 2018 (74)
  • June 2018 (63)
  • May 2018 (70)
  • April 2018 (63)
  • March 2018 (72)
  • February 2018 (48)
  • January 2018 (83)
  • December 2017 (67)
  • November 2017 (62)
  • October 2017 (63)
  • September 2017 (52)
  • August 2017 (62)
  • July 2017 (48)
  • June 2017 (57)
  • May 2017 (68)
  • April 2017 (55)
  • March 2017 (59)
  • February 2017 (58)
  • January 2017 (60)
  • December 2016 (59)
  • November 2016 (74)
  • October 2016 (61)
  • September 2016 (87)
  • August 2016 (57)
  • July 2016 (51)
  • June 2016 (49)
  • May 2016 (48)
  • April 2016 (51)
  • March 2016 (49)
  • February 2016 (50)
  • January 2016 (48)
  • December 2015 (59)
  • November 2015 (57)
  • October 2015 (37)
  • September 2015 (31)
  • August 2015 (41)
  • July 2015 (31)
  • June 2015 (37)
  • May 2015 (30)
  • April 2015 (32)
  • March 2015 (37)
  • February 2015 (52)
  • January 2015 (50)
  • December 2014 (43)
  • November 2014 (39)
  • October 2014 (40)
  • September 2014 (41)
  • August 2014 (58)
  • July 2014 (32)
  • June 2014 (23)
  • May 2014 (38)
  • April 2014 (105)
  • March 2014 (145)
  • February 2014 (81)
  • January 2014 (56)
  • December 2013 (58)
  • November 2013 (32)
  • October 2013 (26)
  • September 2013 (26)
  • August 2013 (54)
  • July 2013 (47)
  • June 2013 (41)
  • May 2013 (33)
  • April 2013 (41)
  • March 2013 (50)
  • February 2013 (47)
  • January 2013 (55)
  • December 2012 (32)
  • November 2012 (23)
  • October 2012 (37)
  • September 2012 (52)
  • August 2012 (46)
  • July 2012 (40)
  • June 2012 (30)
  • May 2012 (27)
  • April 2012 (30)
  • March 2012 (29)
  • February 2012 (32)
  • January 2012 (25)
  • December 2011 (38)
  • November 2011 (28)
  • October 2011 (46)
  • September 2011 (63)
  • August 2011 (35)
  • July 2011 (24)
  • June 2011 (24)
  • May 2011 (24)
  • April 2011 (29)
  • March 2011 (50)
  • February 2011 (48)
  • January 2011 (18)
  • December 2010 (5)
  • November 2010 (18)
  • October 2010 (22)
  • September 2010 (29)
  • August 2010 (24)
  • July 2010 (27)
  • June 2010 (29)
  • May 2010 (25)
  • April 2010 (23)
  • March 2010 (10)
  • February 2010 (6)
  • January 2010 (16)
  • December 2009 (12)
  • November 2009 (3)
  • October 2009 (11)
  • September 2009 (21)
  • August 2009 (11)
  • July 2009 (11)
  • June 2009 (5)
  • May 2009 (12)
  • April 2009 (20)
  • thaddy on A multi index container: TInde…
    thaddy on A multi index container: TInde…
    Matthijs ter Woord on MeanWell Mini Switching Power…
    Peter Wright on When whas the global FormatSet…
    Remy on When whas the global FormatSet…

    Recent Posts

    Blog Stats

  • 2,640,754 hits
  • Tag Cloud Title

    Top Clicks

    Top Posts

    My badges

    Twitter Updates

  • @caseofdees @mieke_24 Wellicht hielp het dat ik in het academisch ziekenhuis als bekend was als patiënt op 2 andere… twitter.com/i/web/status/1…36 minutes ago
  • @julielerman @GOTOcph @Microsoft Congratulations! 46 minutes ago
  • @caseofdees @mieke_24 En ik zie net dat ik neurologie schreef. Komt door een te vol hoofd. Moest reumatologie zijn. 49 minutes ago
  • @caseofdees @mieke_24 Ik denk dat dat in mijn complexe geval niet had uitgemaakt. 50 minutes ago
  • @radiocarol Altijd toch? 1 hour ago
  • My Flickr Stream

    Pages

    All categories

    Email Subscription

    some notes on L2TP IPSEC on Mikrotik

    Posted by jpluimers on 2017/09/01

    For debugging purposes:

    /log print where buffer=memory && (message

    This will result in an answer like this:

    13:43:59 l2tp,info first L2TP UDP packet received from 93.184.216.34
    13:43:59 l2tp,ppp,info,account l2tp-jeroenp logged in, 192.168.73.239
    13:43:59 l2tp,ppp,info : authenticated
    13:43:59 l2tp,ppp,info : connecteda

    Some links for when you cannot get connections to work:

    Before digging deeper, check the output of settings like these:

    /ip ipsec policy group print
    /ip ipsec peer print
    /ip ipsec remote-peers print
    /ip ipsec proposal print
    /ip ipsec installed-sa print

    It will give you answers like these (note that a Mac OS X 10.9.5 won’t connect with camelia encryption algorithms and not do better hashing than sha1 ):

    > /ip ipsec policy group print
    Flags: * – default
    # NAME
    0 * default
    1 pfs-modp1024

    > /ip ipsec peer print
    Flags: X – disabled, D – dynamic
    0 address=0.0.0.0/0 local-address=:: passive=no port=500 auth-method=pre-shared-key secret=»someLoooooooongPasssssword» generate-policy=port-overr > hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

    > /ip ipsec remote-peers print
    0 local-address=37.153.243.243 port=4500 remote-address=93.184.216.34 port=15390 state=established s >
    > /ip ipsec proposal print
    Flags: X – disabled, * – default
    0 * name=»default» auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024

    > /ip ipsec installed-sa print
    Flags: A – AH, E – ESP
    0 E spi=0x965F243 src-address=93.184.216.34:15390 dst-address=37.153.243.243:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc auth-key=»7f15b06179d0365cd8b7d8f046201703b2ba93f1″ enc-key=»ffc56f51397f60002d4bc3d7b95f14ede7eaa542″ addtime=oct/17/2016 13:43:58
    expires-in=36m34s add-lifetime=48m/1h current-bytes=24928 replay=128
    1 E spi=0xE0A95C3 src-address=37.153.243.243:4500 dst-address=93.184.216.34:15390 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc auth-key=»bd936b323131dea53d26791829640471c03154bc» enc-key=»cb1a3e3b21d033c39390aa48b7efe64e835fc404″ addtime=oct/17/2016 13:43:58
    expires-in=36m34s add-lifetime=48m/1h current-bytes=3120 replay=128

    In order to switch away from default as Policy Template Group , you will have to:

    1. add a new IPSec group (in /ip ipsec policy group )
    2. add a new IPSec proposal (in /ip ipsec proposal ) with the same PFS group name as the policy group .
    3. add a new IPSec policy (in /ip ipsec policy group ) with (under General ) the same group name as the policy group . *and* (under Action ) the same proposal name as the proposal.
    4. Some links on hardening IPSEC with DH algorigthm:

      Взлом: В логах Mikrotik вижу чужое подключение l2tp|ipsec

      Есть маршрутизатор RB-951G-2Hnd
      Была необходимость на днях настроить l2tp/ipsec. Настроил и все чудно работает, логины пароли ни кому не давал, однако теперь в логах вижу:
      02:25:18 l2tp,debug,packet rcvd control message from 183.60.48.25:1785
      02:25:18 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
      02:25:18 l2tp,debug,packet (M) Message-Type=SCCRQ
      02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
      02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
      02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
      02:25:18 l2tp,debug,packet Firmware-Revision=0x601
      02:25:18 l2tp,debug,packet (M) Host-Name=»T450-150520-NB»
      02:25:18 l2tp,debug,packet Vendor-Name=»Microsoft»
      02:25:18 l2tp,debug,packet (M) Assigned-Tunnel-ID=5
      02:25:18 l2tp,debug,packet (M) Receive-Window-Size=8
      02:25:18 l2tp,info first L2TP UDP packet received from 183.60.48.25
      02:25:18 l2tp,debug tunnel 49 entering state: wait-ctl-conn
      02:25:18 l2tp,debug,packet sent control message to 183.60.48.25:1785
      02:25:18 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
      02:25:18 l2tp,debug,packet (M) Message-Type=SCCRP
      02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
      02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
      02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
      02:25:18 l2tp,debug,packet Firmware-Revision=0x1
      02:25:18 l2tp,debug,packet (M) Host-Name=»MikroTik»
      02:25:18 l2tp,debug,packet Vendor-Name=»MikroTik»
      02:25:18 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
      02:25:18 l2tp,debug,packet (M) Receive-Window-Size=4
      02:25:19 l2tp,debug,packet sent control message to 183.60.48.25:1785
      02:25:19 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
      02:25:19 l2tp,debug,packet (M) Message-Type=SCCRP
      02:25:19 l2tp,debug,packet (M) Protocol-Version=0x01:00
      02:25:19 l2tp,debug,packet (M) Framing-Capabilities=0x1
      02:25:19 l2tp,debug,packet (M) Bearer-Capabilities=0x0
      02:25:19 l2tp,debug,packet Firmware-Revision=0x1
      02:25:19 l2tp,debug,packet (M) Host-Name=»MikroTik»
      02:25:19 l2tp,debug,packet Vendor-Name=»MikroTik»
      02:25:19 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
      02:25:19 l2tp,debug,packet (M) Receive-Window-Size=4
      02:25:20 l2tp,debug,packet sent control message to 183.60.48.25:1785
      02:25:20 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
      02:25:20 l2tp,debug,packet (M) Message-Type=SCCRP
      02:25:20 l2tp,debug,packet (M) Protocol-Version=0x01:00
      02:25:20 l2tp,debug,packet (M) Framing-Capabilities=0x1
      02:25:20 l2tp,debug,packet (M) Bearer-Capabilities=0x0
      02:25:20 l2tp,debug,packet Firmware-Revision=0x1
      02:25:20 l2tp,debug,packet (M) Host-Name=»MikroTik»
      02:25:20 l2tp,debug,packet Vendor-Name=»MikroTik»
      02:25:20 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
      02:25:20 l2tp,debug,packet (M) Receive-Window-Size=4
      02:25:22 l2tp,debug,packet sent control message to 183.60.48.25:1785
      02:25:22 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
      02:25:22 l2tp,debug,packet (M) Message-Type=SCCRP
      02:25:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
      02:25:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
      02:25:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
      02:25:22 l2tp,debug,packet Firmware-Revision=0x1
      02:25:22 l2tp,debug,packet (M) Host-Name=»MikroTik»
      02:25:22 l2tp,debug,packet Vendor-Name=»MikroTik»
      02:25:22 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
      02:25:22 l2tp,debug,packet (M) Receive-Window-Size=4
      02:25:26 l2tp,debug,packet sent control message to 183.60.48.25:1785
      02:25:26 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
      02:25:26 l2tp,debug,packet (M) Message-Type=SCCRP
      02:25:26 l2tp,debug,packet (M) Protocol-Version=0x01:00
      02:25:26 l2tp,debug,packet (M) Framing-Capabilities=0x1
      02:25:26 l2tp,debug,packet (M) Bearer-Capabilities=0x0
      02:25:26 l2tp,debug,packet Firmware-Revision=0x1
      02:25:26 l2tp,debug,packet (M) Host-Name=»MikroTik»
      02:25:26 l2tp,debug,packet Vendor-Name=»MikroTik»
      02:25:26 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
      02:25:26 l2tp,debug,packet (M) Receive-Window-Size=4
      02:25:34 l2tp,debug,packet sent control message to 183.60.48.25:1785
      02:25:34 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
      02:25:34 l2tp,debug,packet (M) Message-Type=SCCRP
      02:25:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
      02:25:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
      02:25:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
      02:25:34 l2tp,debug,packet Firmware-Revision=0x1
      02:25:34 l2tp,debug,packet (M) Host-Name=»MikroTik»
      02:25:34 l2tp,debug,packet Vendor-Name=»MikroTik»
      02:25:34 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
      02:25:34 l2tp,debug,packet (M) Receive-Window-Size=4
      02:25:42 l2tp,debug tunnel 49 received no replies, disconnecting
      02:25:42 l2tp,debug tunnel 49 entering state: dead

      На протяжении дня ситуация повторяется меняются только IP и порты.
      Не совсем понимаю, ломают или уже взломали?

      Настройка L2TP Server на MikroTik: открытие портов в Firewall

      Добрый день коллеги. Сегодня я покажу на деле как настроить L2TP Server на оборудовании Mikrotik. Конфигурация будет простая, без наворотов типа IPSEC. Но не стоит этим пренебрегать, т.к. стандартное шифрование весьма слабое и строить линки site-to-site без IPSEC я бы не рекомендовал.

      Немного о протоколе L2TP

      L2TP – протокол туннелирования второго уровня. Используется для поддержки виртуальных частных сетей. Отличительной особенностью, является, возможность работы не только в IP сетях, но и в ATM, X.25 и Frame Relay. Клиент-серверный протокол, всегда есть клиент и сервер. Использует на транспортном уровне UDP порт 1701 – большой плюс для трафика, которому не нужно подтверждение каждого пакета (IP телефония, видеонаблюдение), а значит работает быстрее. Но и в этом его минус, шифрование пакетов алгоритмом MPPE 128bit RC4 никого не напугаешь.

      Конфигурирование

      Используем наш уже знакомый лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся справа внизу в офисе SPB (Office-SPB).

      Вводные данные:

      • Office-SPB клиент;
      • Office-Moscow сервер;
      • NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
      • Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
      • Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
      • Office-Moscow имеет bridge “General-Bridge” в локальной сети 192.168.11.1/24;
      • Office-SPB имеет bridge “General-Bridge” в локальной сети 192.168.10.1/24;
      • IP ПК в локальной сети Office-Moscow 192.168.11.2;
      • IP ПК в локальной сети Office-SPB 192.168.10.2;
      • Адресация в VPN сети 172.16.25.0/24.
      Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

      Создание IP пула

      На оборудовании Mikrotik есть нюанс с клиент серверными протоколами VPN – соединение не установится до тех пор, пока мы не назначим IP адреса с обоих сторон. Поэтому создадим пул для VPN клиентов. Подключаемся к московскому роутеру и открываем IP-Pool.

      Добавляем пул, задаем имя и адреса.

      Next Pool указывать не будем. Так же отмечу, что используем мы в VPN /32 маску подсети.

      CLI:
      /ip pool add name=L2TP-Clients ranges=172.16.25.2-172.16.25.10

      Создание профиля подключения

      Переходим к созданию профиля L2TP для нашего сервера. Создаем его в PPP – Profiles.

      Создаем профайл. Указываем:

      • Имя профиля;
      • Local Address – следует указать статический адрес внутри VPN, в нашем случае 172.16.25.1;
      • Remote Address – созданный на предыдущем шаге пул из выпадающего списка;
      • Change TCP MSS – No;
      • Use UPnP – No.

      Переходим на вкладку Protocols, ставим значения:

      • Use MPLS – No;
      • Use Compressions – Yes;
      • Use Encryption – Yes.

      Переходим в Limits, выставляем значение Only One в No.

      Сохраняем и смотрим на результат.

      CLI:
      /ppp profile add change-tcp-mss=no local-address=172.16.25.1 name=L2TP-Server-General only-one=no remote-address=L2TP-Clients use-compression=yes use-encryption=yes use-mpls=no use-upnp=no

      Включение L2TP сервера

      Будем ориентироваться на повышение безопасности аутентификации и отключим старые протоколы. Если у вас есть устройства не поддерживающие современные протоколы аутентификации, то не забудьте включить их обратно. Переходим в PPP – Interface – L2TP Server.

      Выставляем следующее параметры:

      • Enable – ставим галочку;
      • Default Profile – L2TP-Server-General;
      • mschapv1, chap, pap – снимаем галочки;
      • Use IPsec – ничего не ставим, т.к. мы не будем использовать IPSEC.

      Сохраняем и переходим далее.

      CLI:
      /interface l2tp-server server set authentication=mschap2 default-profile=L2TP-Server-General enabled=yes

      Настройка firewall

      Необходимо создать разрешающее правило входящего трафика L2TP на нашем mikrotik в firewall для UDP порта 1701. Приступим к реализации. IP – Firewall – Filter создаем новое правило.

      В General нас интересует:

      • Chain – input;
      • Protocol – UDP;
      • Dst. Port – 1701;
      • Connection State – New.

      На вкладке Action нас интересует accept.

      Сохраняем.

      CLI:

      /ip firewall filter

      add action=accept chain=input connection-state=new dst-port=1701 protocol=udp

      add action=accept chain=input connection-state=established,related

      На самом деле, данное правило будет работать только для новых пакетов пришедших на роутер, для остальных пакетов – нет, а значит сессия не оживет. Чтобы сессии жили и им было хорошо нужно еще одно правило, которое разрешает все устоявшиеся входящие соединения. Создаем еще одно правило.

      • Chain – input;
      • Connection State – established, related;
      • Action – accept.

      На этом, пожалуй, все. Настройка сервера L2TP завершена.

      Несколько слов про блокировку L2TP – из практики, есть такие товарищи — провайдеры, которые блокируют L2TP. Допустим Билайн в некоторых регионах уже начал блокировать весь L2TP без IPSEC. Обращайте на это внимание, если вы сделали все правильно, но соединение не проходит, значит дело в провайдере.

      Далее мы рассмотрим настройку L2TP-клиента и конечно же всеми любимый IPSEC.

      89 вопросов по настройке MikroTik

      Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

      Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik

      главная — Статьи — Mikrotik

      Дата обновления: 17.09.2020

      Теги: VPN сервер VPN Mikrotik

      При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.

      Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

      Proxy-arp на внутреннем бридже

      При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.

      Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.

      Глюк default policy на микротик

      При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph3 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности… Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).

      Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.

      По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:

      ip ipsec peer set 0 policy-template-group=*FFFFFFFF

      Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.

      Ошибки firewall на всех этапах

      Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input — серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.

      Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

      Авторизуйтесь для добавления комментариев!

      First l2tp udp packet received from mikrotik – Тарифы на сотовую связь