Mikrotik first l2tp udp packet received from: First l2tp udp packet received from mikrotik
First l2tp udp packet received from mikrotik
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph3 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
Решение: удалить созданную по умолчанию группу в меню IP – IPSec – Groups, создать новую и указать ее в IP – IPSec – Peers в поле Policy Template Group.
По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.
Ошибки firewall на всех этапах
Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input – серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.
Есть маршрутизатор RB-951G-2Hnd
Была необходимость на днях настроить l2tp/ipsec. Настроил и все чудно работает, логины пароли ни кому не давал, однако теперь в логах вижу:
02:25:18 l2tp,debug,packet rcvd control message from 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel- > 02:25:18 l2tp,debug,packet (M) Message-Type=SCCRQ
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x601
02:25:18 l2tp,debug,packet (M) Host-Name=»T450-150520-NB»
02:25:18 l2tp,debug,packet Vendor-Name=»Microsoft»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:18 l2tp,debug,packet (M) Receive-Window-Size=8
02:25:18 l2tp,info first L2TP UDP packet received from 183.60.48.25
02:25:18 l2tp,debug tunnel 49 entering state: wait-ctl-conn
02:25:18 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel- > 02:25:18 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x1
02:25:18 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:18 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:18 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:19 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:19 l2tp,debug,packet tunnel- > 02:25:19 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:19 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:19 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:19 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:19 l2tp,debug,packet Firmware-Revision=0x1
02:25:19 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:19 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:19 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:19 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:20 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:20 l2tp,debug,packet tunnel- > 02:25:20 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:20 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:20 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:20 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:20 l2tp,debug,packet Firmware-Revision=0x1
02:25:20 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:20 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:20 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:20 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:22 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:22 l2tp,debug,packet tunnel- > 02:25:22 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:22 l2tp,debug,packet Firmware-Revision=0x1
02:25:22 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:22 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:22 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:22 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:26 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:26 l2tp,debug,packet tunnel- > 02:25:26 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:26 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:26 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:26 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:26 l2tp,debug,packet Firmware-Revision=0x1
02:25:26 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:26 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:26 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:26 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:34 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:34 l2tp,debug,packet tunnel- > 02:25:34 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:34 l2tp,debug,packet Firmware-Revision=0x1
02:25:34 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:34 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:34 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:34 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:42 l2tp,debug tunnel 49 received no replies, disconnecting
02:25:42 l2tp,debug tunnel 49 entering state: dead
На протяжении дня ситуация повторяется меняются только IP и порты.
Не совсем понимаю, ломают или уже взломали?
Jeroen W. Pluimers on .NET, C#, Delphi, databases, and personal interests
Subscribe
M | T | W | T | F | S | S |
---|---|---|---|---|---|---|
« Aug | Oct » | |||||
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |
Archives
- November 2019 (39)
- October 2019 (73)
- September 2019 (68)
- August 2019 (66)
- July 2019 (68)
- June 2019 (68)
- May 2019 (72)
- April 2019 (73)
- March 2019 (64)
- February 2019 (68)
- January 2019 (78)
- December 2018 (87)
- November 2018 (77)
- October 2018 (79)
- September 2018 (77)
- August 2018 (76)
- July 2018 (74)
- June 2018 (63)
- May 2018 (70)
- April 2018 (63)
- March 2018 (72)
- February 2018 (48)
- January 2018 (83)
- December 2017 (67)
- November 2017 (62)
- October 2017 (63)
- September 2017 (52)
- August 2017 (62)
- July 2017 (48)
- June 2017 (57)
- May 2017 (68)
- April 2017 (55)
- March 2017 (59)
- February 2017 (58)
- January 2017 (60)
- December 2016 (59)
- November 2016 (74)
- October 2016 (61)
- September 2016 (87)
- August 2016 (57)
- July 2016 (51)
- June 2016 (49)
- May 2016 (48)
- April 2016 (51)
- March 2016 (49)
- February 2016 (50)
- January 2016 (48)
- December 2015 (59)
- November 2015 (57)
- October 2015 (37)
- September 2015 (31)
- August 2015 (41)
- July 2015 (31)
- June 2015 (37)
- May 2015 (30)
- April 2015 (32)
- March 2015 (37)
- February 2015 (52)
- January 2015 (50)
- December 2014 (43)
- November 2014 (39)
- October 2014 (40)
- September 2014 (41)
- August 2014 (58)
- July 2014 (32)
- June 2014 (23)
- May 2014 (38)
- April 2014 (105)
- March 2014 (145)
- February 2014 (81)
- January 2014 (56)
- December 2013 (58)
- November 2013 (32)
- October 2013 (26)
- September 2013 (26)
- August 2013 (54)
- July 2013 (47)
- June 2013 (41)
- May 2013 (33)
- April 2013 (41)
- March 2013 (50)
- February 2013 (47)
- January 2013 (55)
- December 2012 (32)
- November 2012 (23)
- October 2012 (37)
- September 2012 (52)
- August 2012 (46)
- July 2012 (40)
- June 2012 (30)
- May 2012 (27)
- April 2012 (30)
- March 2012 (29)
- February 2012 (32)
- January 2012 (25)
- December 2011 (38)
- November 2011 (28)
- October 2011 (46)
- September 2011 (63)
- August 2011 (35)
- July 2011 (24)
- June 2011 (24)
- May 2011 (24)
- April 2011 (29)
- March 2011 (50)
- February 2011 (48)
- January 2011 (18)
- December 2010 (5)
- November 2010 (18)
- October 2010 (22)
- September 2010 (29)
- August 2010 (24)
- July 2010 (27)
- June 2010 (29)
- May 2010 (25)
- April 2010 (23)
- March 2010 (10)
- February 2010 (6)
- January 2010 (16)
- December 2009 (12)
- November 2009 (3)
- October 2009 (11)
- September 2009 (21)
- August 2009 (11)
- July 2009 (11)
- June 2009 (5)
- May 2009 (12)
- April 2009 (20)
thaddy on A multi index container: TInde… |
thaddy on A multi index container: TInde… |
Matthijs ter Woord on MeanWell Mini Switching Power… |
Peter Wright on When whas the global FormatSet… |
Remy on When whas the global FormatSet… |
Recent Posts
Blog Stats
Tag Cloud Title
Top Clicks
Top Posts
My badges
Twitter Updates
My Flickr Stream
Pages
All categories
Email Subscription
some notes on L2TP IPSEC on Mikrotik
Posted by jpluimers on 2017/09/01
For debugging purposes:
/log print where buffer=memory && (message
This will result in an answer like this:
13:43:59 l2tp,info first L2TP UDP packet received from 93.184.216.34
13:43:59 l2tp,ppp,info,account l2tp-jeroenp logged in, 192.168.73.239
13:43:59 l2tp,ppp,info : authenticated
13:43:59 l2tp,ppp,info : connecteda
Some links for when you cannot get connections to work:
Before digging deeper, check the output of settings like these:
/ip ipsec policy group print
/ip ipsec peer print
/ip ipsec remote-peers print
/ip ipsec proposal print
/ip ipsec installed-sa print
It will give you answers like these (note that a Mac OS X 10.9.5 won’t connect with camelia encryption algorithms and not do better hashing than sha1 ):
> /ip ipsec policy group print
Flags: * – default
# NAME
0 * default
1 pfs-modp1024> /ip ipsec peer print
Flags: X – disabled, D – dynamic
0 address=0.0.0.0/0 local-address=:: passive=no port=500 auth-method=pre-shared-key secret=»someLoooooooongPasssssword» generate-policy=port-overr > hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5> /ip ipsec remote-peers print
0 local-address=37.153.243.243 port=4500 remote-address=93.184.216.34 port=15390 state=established s >
> /ip ipsec proposal print
Flags: X – disabled, * – default
0 * name=»default» auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024> /ip ipsec installed-sa print
Flags: A – AH, E – ESP
0 E spi=0x965F243 src-address=93.184.216.34:15390 dst-address=37.153.243.243:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc auth-key=»7f15b06179d0365cd8b7d8f046201703b2ba93f1″ enc-key=»ffc56f51397f60002d4bc3d7b95f14ede7eaa542″ addtime=oct/17/2016 13:43:58
expires-in=36m34s add-lifetime=48m/1h current-bytes=24928 replay=128
1 E spi=0xE0A95C3 src-address=37.153.243.243:4500 dst-address=93.184.216.34:15390 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc auth-key=»bd936b323131dea53d26791829640471c03154bc» enc-key=»cb1a3e3b21d033c39390aa48b7efe64e835fc404″ addtime=oct/17/2016 13:43:58
expires-in=36m34s add-lifetime=48m/1h current-bytes=3120 replay=128
In order to switch away from default as Policy Template Group , you will have to:
Some links on hardening IPSEC with DH algorigthm:
Взлом: В логах Mikrotik вижу чужое подключение l2tp|ipsec
Есть маршрутизатор RB-951G-2Hnd
Была необходимость на днях настроить l2tp/ipsec. Настроил и все чудно работает, логины пароли ни кому не давал, однако теперь в логах вижу:
02:25:18 l2tp,debug,packet rcvd control message from 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
02:25:18 l2tp,debug,packet (M) Message-Type=SCCRQ
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x601
02:25:18 l2tp,debug,packet (M) Host-Name=»T450-150520-NB»
02:25:18 l2tp,debug,packet Vendor-Name=»Microsoft»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel-ID=5
02:25:18 l2tp,debug,packet (M) Receive-Window-Size=8
02:25:18 l2tp,info first L2TP UDP packet received from 183.60.48.25
02:25:18 l2tp,debug tunnel 49 entering state: wait-ctl-conn
02:25:18 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:18 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x1
02:25:18 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:18 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:18 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:19 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:19 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:19 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:19 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:19 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:19 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:19 l2tp,debug,packet Firmware-Revision=0x1
02:25:19 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:19 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:19 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:19 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:20 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:20 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:20 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:20 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:20 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:20 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:20 l2tp,debug,packet Firmware-Revision=0x1
02:25:20 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:20 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:20 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:20 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:22 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:22 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:22 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:22 l2tp,debug,packet Firmware-Revision=0x1
02:25:22 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:22 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:22 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:22 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:26 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:26 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:26 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:26 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:26 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:26 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:26 l2tp,debug,packet Firmware-Revision=0x1
02:25:26 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:26 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:26 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:26 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:34 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:34 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:34 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:34 l2tp,debug,packet Firmware-Revision=0x1
02:25:34 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:34 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:34 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:34 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:42 l2tp,debug tunnel 49 received no replies, disconnecting
02:25:42 l2tp,debug tunnel 49 entering state: dead
На протяжении дня ситуация повторяется меняются только IP и порты.
Не совсем понимаю, ломают или уже взломали?
Настройка L2TP Server на MikroTik: открытие портов в Firewall
Добрый день коллеги. Сегодня я покажу на деле как настроить L2TP Server на оборудовании Mikrotik. Конфигурация будет простая, без наворотов типа IPSEC. Но не стоит этим пренебрегать, т.к. стандартное шифрование весьма слабое и строить линки site-to-site без IPSEC я бы не рекомендовал.
Немного о протоколе L2TP
L2TP – протокол туннелирования второго уровня. Используется для поддержки виртуальных частных сетей. Отличительной особенностью, является, возможность работы не только в IP сетях, но и в ATM, X.25 и Frame Relay. Клиент-серверный протокол, всегда есть клиент и сервер. Использует на транспортном уровне UDP порт 1701 – большой плюс для трафика, которому не нужно подтверждение каждого пакета (IP телефония, видеонаблюдение), а значит работает быстрее. Но и в этом его минус, шифрование пакетов алгоритмом MPPE 128bit RC4 никого не напугаешь.
Конфигурирование
Используем наш уже знакомый лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся справа внизу в офисе SPB (Office-SPB).
Вводные данные:
- Office-SPB клиент;
- Office-Moscow сервер;
- NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
- Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
- Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
- Office-Moscow имеет bridge “General-Bridge” в локальной сети 192.168.11.1/24;
- Office-SPB имеет bridge “General-Bridge” в локальной сети 192.168.10.1/24;
- IP ПК в локальной сети Office-Moscow 192.168.11.2;
- IP ПК в локальной сети Office-SPB 192.168.10.2;
- Адресация в VPN сети 172.16.25.0/24.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Создание IP пула
На оборудовании Mikrotik есть нюанс с клиент серверными протоколами VPN – соединение не установится до тех пор, пока мы не назначим IP адреса с обоих сторон. Поэтому создадим пул для VPN клиентов. Подключаемся к московскому роутеру и открываем IP-Pool.
Добавляем пул, задаем имя и адреса.
Next Pool указывать не будем. Так же отмечу, что используем мы в VPN /32 маску подсети.
CLI:
/ip pool add name=L2TP-Clients ranges=172.16.25.2-172.16.25.10
Создание профиля подключения
Переходим к созданию профиля L2TP для нашего сервера. Создаем его в PPP – Profiles.
Создаем профайл. Указываем:
- Имя профиля;
- Local Address – следует указать статический адрес внутри VPN, в нашем случае 172.16.25.1;
- Remote Address – созданный на предыдущем шаге пул из выпадающего списка;
- Change TCP MSS – No;
- Use UPnP – No.
Переходим на вкладку Protocols, ставим значения:
- Use MPLS – No;
- Use Compressions – Yes;
- Use Encryption – Yes.
Переходим в Limits, выставляем значение Only One в No.
Сохраняем и смотрим на результат.
CLI:
/ppp profile add change-tcp-mss=no local-address=172.16.25.1 name=L2TP-Server-General only-one=no remote-address=L2TP-Clients use-compression=yes use-encryption=yes use-mpls=no use-upnp=no
Включение L2TP сервера
Будем ориентироваться на повышение безопасности аутентификации и отключим старые протоколы. Если у вас есть устройства не поддерживающие современные протоколы аутентификации, то не забудьте включить их обратно. Переходим в PPP – Interface – L2TP Server.
Выставляем следующее параметры:
- Enable – ставим галочку;
- Default Profile – L2TP-Server-General;
- mschapv1, chap, pap – снимаем галочки;
- Use IPsec – ничего не ставим, т.к. мы не будем использовать IPSEC.
Сохраняем и переходим далее.
CLI:
/interface l2tp-server server set authentication=mschap2 default-profile=L2TP-Server-General enabled=yes
Настройка firewall
Необходимо создать разрешающее правило входящего трафика L2TP на нашем mikrotik в firewall для UDP порта 1701. Приступим к реализации. IP – Firewall – Filter создаем новое правило.
В General нас интересует:
- Chain – input;
- Protocol – UDP;
- Dst. Port – 1701;
- Connection State – New.
На вкладке Action нас интересует accept.
Сохраняем.
CLI:
/ip firewall filter
add action=accept chain=input connection-state=new dst-port=1701 protocol=udp
add action=accept chain=input connection-state=established,related
На самом деле, данное правило будет работать только для новых пакетов пришедших на роутер, для остальных пакетов – нет, а значит сессия не оживет. Чтобы сессии жили и им было хорошо нужно еще одно правило, которое разрешает все устоявшиеся входящие соединения. Создаем еще одно правило.
- Chain – input;
- Connection State – established, related;
- Action – accept.
На этом, пожалуй, все. Настройка сервера L2TP завершена.
Несколько слов про блокировку L2TP – из практики, есть такие товарищи — провайдеры, которые блокируют L2TP. Допустим Билайн в некоторых регионах уже начал блокировать весь L2TP без IPSEC. Обращайте на это внимание, если вы сделали все правильно, но соединение не проходит, значит дело в провайдере.
Далее мы рассмотрим настройку L2TP-клиента и конечно же всеми любимый IPSEC.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
главная
— Статьи — Mikrotik
Дата обновления: 17.09.2020
Теги: VPN сервер VPN Mikrotik
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph3 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности… Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.
По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.
Ошибки firewall на всех этапах
Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input — серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Авторизуйтесь для добавления комментариев!
First l2tp udp packet received from mikrotik – Тарифы на сотовую связь
422 пользователя считают данную страницу полезной.
Информация актуальна! Страница была обновлена 16.12.2019
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph3 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
Решение: удалить созданную по умолчанию группу в меню IP – IPSec – Groups, создать новую и указать ее в IP – IPSec – Peers в поле Policy Template Group.
По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.
Ошибки firewall на всех этапах
Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input – серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.
Есть маршрутизатор RB-951G-2Hnd
Была необходимость на днях настроить l2tp/ipsec. Настроил и все чудно работает, логины пароли ни кому не давал, однако теперь в логах вижу:
02:25:18 l2tp,debug,packet rcvd control message from 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel- > 02:25:18 l2tp,debug,packet (M) Message-Type=SCCRQ
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x601
02:25:18 l2tp,debug,packet (M) Host-Name=»T450-150520-NB»
02:25:18 l2tp,debug,packet Vendor-Name=»Microsoft»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:18 l2tp,debug,packet (M) Receive-Window-Size=8
02:25:18 l2tp,info first L2TP UDP packet received from 183.60.48.25
02:25:18 l2tp,debug tunnel 49 entering state: wait-ctl-conn
02:25:18 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel- > 02:25:18 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x1
02:25:18 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:18 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:18 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:19 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:19 l2tp,debug,packet tunnel- > 02:25:19 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:19 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:19 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:19 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:19 l2tp,debug,packet Firmware-Revision=0x1
02:25:19 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:19 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:19 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:19 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:20 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:20 l2tp,debug,packet tunnel- > 02:25:20 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:20 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:20 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:20 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:20 l2tp,debug,packet Firmware-Revision=0x1
02:25:20 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:20 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:20 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:20 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:22 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:22 l2tp,debug,packet tunnel- > 02:25:22 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:22 l2tp,debug,packet Firmware-Revision=0x1
02:25:22 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:22 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:22 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:22 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:26 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:26 l2tp,debug,packet tunnel- > 02:25:26 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:26 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:26 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:26 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:26 l2tp,debug,packet Firmware-Revision=0x1
02:25:26 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:26 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:26 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:26 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:34 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:34 l2tp,debug,packet tunnel- > 02:25:34 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:34 l2tp,debug,packet Firmware-Revision=0x1
02:25:34 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:34 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:34 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:34 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:42 l2tp,debug tunnel 49 received no replies, disconnecting
02:25:42 l2tp,debug tunnel 49 entering state: dead
На протяжении дня ситуация повторяется меняются только IP и порты.
Не совсем понимаю, ломают или уже взломали?
Jeroen W. Pluimers on .NET, C#, Delphi, databases, and personal interests
Subscribe
M | T | W | T | F | S | S |
---|---|---|---|---|---|---|
« Aug | Oct » | |||||
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |
Archives
- November 2019 (39)
- October 2019 (73)
- September 2019 (68)
- August 2019 (66)
- July 2019 (68)
- June 2019 (68)
- May 2019 (72)
- April 2019 (73)
- March 2019 (64)
- February 2019 (68)
- January 2019 (78)
- December 2018 (87)
- November 2018 (77)
- October 2018 (79)
- September 2018 (77)
- August 2018 (76)
- July 2018 (74)
- June 2018 (63)
- May 2018 (70)
- April 2018 (63)
- March 2018 (72)
- February 2018 (48)
- January 2018 (83)
- December 2017 (67)
- November 2017 (62)
- October 2017 (63)
- September 2017 (52)
- August 2017 (62)
- July 2017 (48)
- June 2017 (57)
- May 2017 (68)
- April 2017 (55)
- March 2017 (59)
- February 2017 (58)
- January 2017 (60)
- December 2016 (59)
- November 2016 (74)
- October 2016 (61)
- September 2016 (87)
- August 2016 (57)
- July 2016 (51)
- June 2016 (49)
- May 2016 (48)
- April 2016 (51)
- March 2016 (49)
- February 2016 (50)
- January 2016 (48)
- December 2015 (59)
- November 2015 (57)
- October 2015 (37)
- September 2015 (31)
- August 2015 (41)
- July 2015 (31)
- June 2015 (37)
- May 2015 (30)
- April 2015 (32)
- March 2015 (37)
- February 2015 (52)
- January 2015 (50)
- December 2014 (43)
- November 2014 (39)
- October 2014 (40)
- September 2014 (41)
- August 2014 (58)
- July 2014 (32)
- June 2014 (23)
- May 2014 (38)
- April 2014 (105)
- March 2014 (145)
- February 2014 (81)
- January 2014 (56)
- December 2013 (58)
- November 2013 (32)
- October 2013 (26)
- September 2013 (26)
- August 2013 (54)
- July 2013 (47)
- June 2013 (41)
- May 2013 (33)
- April 2013 (41)
- March 2013 (50)
- February 2013 (47)
- January 2013 (55)
- December 2012 (32)
- November 2012 (23)
- October 2012 (37)
- September 2012 (52)
- August 2012 (46)
- July 2012 (40)
- June 2012 (30)
- May 2012 (27)
- April 2012 (30)
- March 2012 (29)
- February 2012 (32)
- January 2012 (25)
- December 2011 (38)
- November 2011 (28)
- October 2011 (46)
- September 2011 (63)
- August 2011 (35)
- July 2011 (24)
- June 2011 (24)
- May 2011 (24)
- April 2011 (29)
- March 2011 (50)
- February 2011 (48)
- January 2011 (18)
- December 2010 (5)
- November 2010 (18)
- October 2010 (22)
- September 2010 (29)
- August 2010 (24)
- July 2010 (27)
- June 2010 (29)
- May 2010 (25)
- April 2010 (23)
- March 2010 (10)
- February 2010 (6)
- January 2010 (16)
- December 2009 (12)
- November 2009 (3)
- October 2009 (11)
- September 2009 (21)
- August 2009 (11)
- July 2009 (11)
- June 2009 (5)
- May 2009 (12)
- April 2009 (20)
thaddy on A multi index container: TInde… |
thaddy on A multi index container: TInde… |
Matthijs ter Woord on MeanWell Mini Switching Power… |
Peter Wright on When whas the global FormatSet… |
Remy on When whas the global FormatSet… |
Recent Posts
Blog Stats
Meta title
Tag Cloud Title
Top Clicks
Top Posts
My badges
Twitter Updates
My Flickr Stream
Pages
All categories
Email Subscription
some notes on L2TP IPSEC on Mikrotik
Posted by jpluimers on 2017/09/01
For debugging purposes:
/log print where buffer=memory && (message
This will result in an answer like this:
13:43:59 l2tp,info first L2TP UDP packet received from 93.184.216.34
13:43:59 l2tp,ppp,info,account l2tp-jeroenp logged in, 192.168.73.239
13:43:59 l2tp,ppp,info : authenticated
13:43:59 l2tp,ppp,info : connecteda
Some links for when you cannot get connections to work:
Before digging deeper, check the output of settings like these:
/ip ipsec policy group print
/ip ipsec peer print
/ip ipsec remote-peers print
/ip ipsec proposal print
/ip ipsec installed-sa print
It will give you answers like these (note that a Mac OS X 10.9.5 won’t connect with camelia encryption algorithms and not do better hashing than sha1 ):
> /ip ipsec policy group print
Flags: * – default
# NAME
0 * default
1 pfs-modp1024> /ip ipsec peer print
Flags: X – disabled, D – dynamic
0 address=0.0.0.0/0 local-address=:: passive=no port=500 auth-method=pre-shared-key secret=»someLoooooooongPasssssword» generate-policy=port-overr > hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5> /ip ipsec remote-peers print
0 local-address=37.153.243.243 port=4500 remote-address=93.184.216.34 port=15390 state=established s >
> /ip ipsec proposal print
Flags: X – disabled, * – default
0 * name=»default» auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024> /ip ipsec installed-sa print
Flags: A – AH, E – ESP
0 E spi=0x965F243 src-address=93.184.216.34:15390 dst-address=37.153.243.243:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc auth-key=»7f15b06179d0365cd8b7d8f046201703b2ba93f1″ enc-key=»ffc56f51397f60002d4bc3d7b95f14ede7eaa542″ addtime=oct/17/2016 13:43:58
expires-in=36m34s add-lifetime=48m/1h current-bytes=24928 replay=128
1 E spi=0xE0A95C3 src-address=37.153.243.243:4500 dst-address=93.184.216.34:15390 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc auth-key=»bd936b323131dea53d26791829640471c03154bc» enc-key=»cb1a3e3b21d033c39390aa48b7efe64e835fc404″ addtime=oct/17/2016 13:43:58
expires-in=36m34s add-lifetime=48m/1h current-bytes=3120 replay=128
In order to switch away from default as Policy Template Group , you will have to:
Some links on hardening IPSEC with DH algorigthm:
Межсетевой экран:Стандартные настройки для разных случаев — MikroTik WiKi rus
Через графический интерфейс
Научиться работать с MikroTik можно с помощью видеокурса "Настройка оборудования MikroTik". Помимо всех тем из официальной программы MikroTik MTCNA курс содержит много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Поддержку по курсу оказывает его автор Дмитрий Скоромнов, который является официальным тренером MikroTik (TR0680) и по совместительству автором этой Wiki.
Полезные материалы по теме MikroTik:
* Чек-лист по настройке MikroTik * Матрица продуктов MikroTik: модель, артикул, информация по процессору (архитектура, частота, количество ядер), уровень лицензии, объем ОЗУ и ПЗУ, наличие модулей Wi-Fi на разных частотах и коэффициенты усиления встроенных антенн и многое другое. Всего более 30-ти параметров для каждого из 151-го устройства в списке.
Разрешающие правила для всех типов протоколов настраиваются идентично. Поэтому в примерах графической настройки мы приведем в пример только VPN-соединение типа L2TP. При необходимости разрешить, какой-то другой тип соединения через файервол необходимо указать следующие параметры:
- Цепочка (Chain:)
- Протокол (Protocol:)
- Порт (Dst. Port:)
Цепочку, порт и протокол можно посмотреть в настройках через консоль.
Через консоль
VPN
Разрешить весь VPN-трафик через VPN-соединение
Надо учитывать, что некоторые виды подключение, например GRE не являются PPP.
/ip firewall filter
add chain=forward comment="Permit all PPP" in-interface=all-ppp
Разрешить PPTP-подключение/ip firewall filter
add chain=input dst-port=1723 protocol=tcp comment="Permit PPTP"
add action=accept chain=input protocol=gre comment="Permit GRE"
Разрешить L2TP-подключение/ip firewall filter
add chain=input dst-port=1701 protocol=udp comment="Permit L2TP"
Разрешить IPSec-подключение/ip firewall filter
add chain=input port=500,4500 protocol=udp comment="Permit IPSec ports 500 and 4500"
add chain=input protocol=ipsec-esp comment="Permit IPSec protocol ipsec-esp"
Разрешить OpenVPN-подключение/ip firewall filter
add action=accept chain=input dst-port=1194 protocol=tcp comment="Permit OpenVPN"
Разрешить SSTP-подключение/ip firewall filter
add action=accept chain=input dst-port=443 protocol=tcp comment="Permit SSTP"
Разрешить GRE-подключение/ip firewall filter
add action=accept chain=input protocol=gre comment="Permit GRE"
Разрешить IPIP-подключение/ip firewall filter
add action=accept chain=input protocol=ipip comment="Permit IPIP"
Прохождение IPSec при использовании Fast Track
Fast Track это опция представленная в RouterOS 6.29. С помощью этой опции можно передавать пакеты в обход ядра Linux. За счет этого существенно повышается производительность маршрутизатора.
Включить Fast Track можно следующим образом:/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
Это позволит пакетам у которых состояние «Established» или «Related» обходить ядро Linux и быть сразу перенаправленным к цели. Такие пакеты не будут проходить ни через одно правило файервола или другое правило обработки пакетов. Of course – a connection gains the state of established or related once it went through the firewall so it will still be secure.
Как результат появляется недостаток: соединения IPsec так же не будут обработаны. Решить эту проблему можно следующим образом.
Вначале надо пометить соединения IPsec:/ip firewall mangle
add action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsec
add action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsec
Далее изменить стандартное правило Fast Track так, что бы оно не обрабатывало пакеты IPsec. Изменения внесенные в стандартное правило выделены красным./ip firewall filter add action=fasttrack-connection chain=forward comment=FastTrack connection-mark=!ipsec connection-state=established,related
Научиться работать с MikroTik можно с помощью видеокурса "Настройка оборудования MikroTik". Помимо всех тем из официальной программы MikroTik MTCNA курс содержит много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Поддержку по курсу оказывает его автор Дмитрий Скоромнов, который является официальным тренером MikroTik (TR0680) и по совместительству автором этой Wiki.
Полезные материалы по теме MikroTik:
* Чек-лист по настройке MikroTik * Матрица продуктов MikroTik: модель, артикул, информация по процессору (архитектура, частота, количество ядер), уровень лицензии, объем ОЗУ и ПЗУ, наличие модулей Wi-Fi на разных частотах и коэффициенты усиления встроенных антенн и многое другое. Всего более 30-ти параметров для каждого из 151-го устройства в списке.
Защита L2TP туннеля на Mikrotik — Ювелирная мастерская
Допустим, что у Вас есть несколько филиалов, связанных VPN (L2TP+IPSec) туннелями. Или без IPSec, всякое может быть. Или маршрутизатор стоит у родственника в Германии и Вы используете его для обхода блокировки сайтов. Буквально через сутки-двое после настройки, в логах начинают появляться записи вида:
04:41:13 ipsec,info respond new phase 1 (Identity Protection): xxx.xxx.xxx.xxx[500]<=217.25.18.110[500] 04:41:13 ipsec,error no suitable proposal found.
04:41:13 ipsec,error 217.25.18.110 failed to get valid proposal.
04:41:13 ipsec,error 217.25.18.110 failed to pre-process ph2 packet (side: 1, stat us 1). 04:41:13 ipsec,error 217.25.18.110 phase1 negotiation fail
Это значит, что какой-то бот, управляемый добрым дядюшкой Ляо или другими товарищами, пытается подключится\подобрать пароль\вид авторизации. А может кто-то и вручную пытается расшатать дымоход вашего поместья Ваш VPN.
Я начал искать варианты защиты и наткнулся сначала на тему на официальном форуме, а в конце была ссылка на вот такой набор скриптов на Github.
Собственно, там все ясно, как белый день. Если кто не дружит с английским, то расскажу просто и быстро, как использовать их под свои нужды. Скачиваем правила для фаервола и 3 скрипта. Первые необходимо отредактировать, заменяем интерфейс ether1-WAN на свой и применяем в Mikrotik’е. Потом подымаем правила повыше в списке.
Далее редактируем скрипты, меняем [email protected] на свой ящик и в [:resolve mail.srv] изменяем mail.srv на свой smtp сервер. После добавляем скрипты в System — Scripts, а после этого и в планировщик — System — Scheduler.
Теперь осталось только проверить работоспособность, подключаемся к Mikrotik через Winbox, открываем логи и пытаемся подключиться к VPN серверу с некорректными учетными данными, должна появиться ошибка в логах. А после этого, когда отработает скрипт, IP будет занесен в список l2tp-brutforce в фаерволе и на почту придет сообщение.
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
https://forum.mikrotik.com/viewtopic.php?t=58585
https://github.com/Onoro/Mikrotik
Понравилось это:
Нравится Загрузка…
Похожее
! |
.
! |
.