Mikrotik+Softether: L2TP over IPsec — как настроить Mikrotik?

Question

[JackBauer]

На том конце - Softether стандартный, разрешен как L2TP без шифрования, так и over IPsec. Shared secret установлен.

На этом - супер RB2011UiAS-2HnD-IN. Соединение через L2TP без шифрования работает прекрасно.

Вопрос - как правильно настроить peer, proposal и прочие IPsec прелести на микротике? Ни одного примера не нашел - везде mikrotik<-l2tp/ipsec->mikrotik. С учетом того, что настроек в Softether на эту тему минимум И любые 'home' клиенты без проблем коннектятся через L2TP over IPsec (Macosx, Ios, Win7/8).

Спасибо еще раз!

Answer 1

[JackBauer]

Короче после недели мучений установки узнаТы.
Итак, тем кто бьется с установлением L2TP over IPSec в сторону сервера Softether, а микротик клиент:

Сервер softether - xx.xx.xx.xx - его IP,
yy.yy.yy.yy адрес микротика (в моем случае внутренний yy.yy.10.42)
Все настройки на микротике:
1. создал Ipsec proposal. Там Sha1, 3des, aes-256 cbc, PFS Group mod1024.
2. создал Ipsec peer. Там адрес это xx.xx.xx.xx, порт 500, pre shared key и он сам введен в поле, exchange mode l2tp, send initial contact НЕ стоит, nat traversal стоит (у меня микротик за натом), proposal check Obey, sha1, 3des+aes-128+aes-256, DH group NO, disable DPD. Фуф.
3. самое веселое - создал Ipsec policy. Там src-address yy.yy.10.42/32 (!), dest-address xx.xx.xx.xx/32, protocol udp, action encrypt, level require, ipsec protocols ESP, туннель НЕ стоит, sa-src-ad yy.yy.10.42, sa-dst-ad xx.xx.xx.xx.
4. ну и само соединение l2tp client, только профиль должен содержать encryption -> require.

После всего проделанного при попытке поднятия l2tp клиента, в IPSec -> remote peers должен появиться сервер и established в деталях, а в IPSec -> Installed SAs две строчки с подробностями самих SA и методом шифрования. Softether, как оказалось, поддерживает много. И des, и 3des и aes-128 cbc и aes-256 cbc.

Всем спасибо, все на отдых!

Answer 2

[Клёвый Админ]

Коллега, вы хоть скрин настроек вашей чудесной штуки прикрепите. И настройки "home" клиентов тоже.
Это будет довольно просто перевести на язык микротика, чтобы он тоже причастился подключился.

Comments

[JackBauer]

server address: xxx.xxx.xxx.xxx
login: katyperry@VPN
password: incorrect
shared secret: voteobama

Этих настроек достаточно для подключения к серверу любых ios/win/macos клиентов по L2TP over IPsec.

В softether (честно говоря не понял чего там прикреплять оттуда) галочка allow L2TP over IPSec чекнута, настройки все стандартные, имя дефолт virtual hub - VPN. Никаких настроек proposal, peers и т.д. там просто нет.

Спасибо еще раз

[Клёвый Админ]

@JackBauer что-то действительно влоб не перевести, но вот есть сносный материал https://www.softether.org/4-docs/2-howto/9.L2TPIPs...

в принципе раз циска может - то и тик сможет. Но большего я сделать без доступа к железу не могу, потому как в точности настройки не помню, и нужны эксперименты.

[JackBauer]

Дело в том, что описанная ссылка относится не к L2TP over IPSec, а к EtherIP over IPSEC/L2TPv3. Так что настройки не катят. Опять убил всю ночь на мытарства. Создал peer на микротике, настроил, proposal. Соединение ipsec устанавливается, передаются SA, но l2tp client отказывается соединяться с шифрованием (encryption cannot be negotiated). Я так понял вопрос не новый. На микротик борде обсуждался, но без конкретики.

По идее нужно узнать, какую полиси, пропоузал и пир конфигурацию имеет например Win 7 L2tp/Ipsec звонилка, и ее сделать на кротике.