Как настроить L2TP/IPSec VPN на Mikrotik?

Question

[TNT]

Пытаюсь поднять на Mikrotik RB951G-2HnD VPN тунель L2TP/IPSec, что бы подключаться с помощью iPhone 4.
Но не чего не получается.
Соединение отваливается вот на этом.
Jun/04/2015 21:49:54 ipsec,error phase1 negotiation failed due to time up "Мой внешний статический IP адрес"[500]<=>"Произвольный IP адрес с устройства которым пытаюсь подключится"[1197] 86dd3e3d2affc4f8:67c23982425b761b
Время на роутере и на iPhone одинаковое. В статистике IPSec Peer Connected видно что есть какое то соединение, т.е. на мой внешний адрес с другого адреса(мегафон 3G). Пароли на L2TP и на IPSec сделал простые, что бы проверить. В правилах Firewall пакеты бегают на правиле где 500 порт UDP. Пакеты на правиле с UDP 1701 и 4500, и ipsec-esp не бегают, по нулям.

Где может быть проблема и куда копать? Всё делал по гайдам и вики, и ни как не удаётся добиться положительного результата :(

Answer 1

[Клёвый Админ]

У вас так?
/ip ipsec proposal
set default enc-algorithms=aes-128-cbc,aes-256-cbc lifetime=8h \
pfs-group=none

Покажите остальные настройки.

Вот годный гайд https://www.nasa-security.net/mikrotik/mikrotik-l2...

Comments

[TNT]

Да, именно по этому гайду я и делал. Пробовал и другие гайды, они всё равно почти все идентичны. Не чего не помогает.

[TNT]

Вот несколько скринов с настройками - imgur.com/a/3lr94 , шифрование, NAT-T и другие настройки разные пробовал.

[Клёвый Админ]

TNT: галка туннель в политике должна стоять.

[TNT]

Евгений Быченко: Пробовал. Не помогает.

[Клёвый Админ]

TNT: нужно поставить её обязательно, а потом пробовать 1) установить l2tp от стороннего девайса 2) установить l2tp от айфона

[kader]

сам очень долго мучался, в итоге откатился на бекап с начальной настройкой, без тунелей и с самого начала аккуратно все сделал. поднялось и заработало

[vadik_tmb]

говорят что микротик с IPsec не очень то и дружит, если что получалось то работало по натроению

[Клёвый Админ]

vadik_tmb: голословно звучит. Это я вам как человек использующий MK-Cisco, MK-MK и MK-Windows связки с IPSec

[vadik_tmb]

Евгений Быченко: на своем опыте пфсенс+мк ипсек поднимался бодро но стабильность желала лучшего мк+мк работали работали стабильно, как и пф+пф. Пока изучал этот вопрос часто натыкался что таже проблема возникала у многих людей, в связках с разносортными ОС

[Клёвый Админ]

vadik_tmb: другой разговор. Я тоже ловил проблемы, куда без них. Но чаще по вине иного вендора, который отказывался стабильно работать, скажем на лютом шифровании с хорошей скоростью (и падал), когда как на той же железке был пиринг с другим вендором с аналогичными настройками и всё летало.

[TNT]

Спасибо, но не чего не помогает. Пробовал удалять конфигурацию и и настраивать по новой. Всё равно не пускает меня =)
Может кто сделает подробный гайд, т.е. сам удалит все L2TP и IPSec настройки и заново с картинками и описанием, почему тут стоит именно такое значениz? Годный, работоспособный гайд? А то, те что есть в инете, не пригодны для меня, и не работают.

[Клёвый Админ]

TNT: я попробую сегодня поднять l2tp+ipsec для ios и скажу где твои ошибки.

[TNT]

Евгений Быченко: Отлично!

[Клёвый Админ]

TNT: Итак, коллега, вот что я сделал чтобы мой айфон4 на 8 ios подключился к MK L2TP + IPSec через NAT
1. Разрешаем входящий трафф для портов 500, 1701, 4500 UDP. Так же разрешаем исходящий наружу
2. Настраиваем профиль L2TP копируя стандартный default-encryption и внося единственное изменение в шифрование трафика = Yes (в остальном всё штатно как и для других устройств)
3. Включаем L2TP сервер ставя галку IPSec - Peer для входящих подключений создастся автоматом
4. В IPSec Proposal вносим изменения добивая недостающие галки до состояния
auth-algorithms=md5,sha1,sha256,sha512 enc-algorithms=null,des,3des,aes-128-cbc,aes-256-cbc
5. Политики туннелей и темплейтов я не трогал, всё заработало на дефолтных.

Тестировал при подключении через интернет из под моего домашнего вайфая за NAT всё работало без проблем, а вот через Мегафон подключатся не захотело никак (возможно мой тариф или что-то ещё блокирует l2tp) и не только с айфона

[TNT]

Спасибо. Пока нету времени проверить, подготовка к отпуску, лето, етц... Как будет минутка, обязательно проверю ваши настройки. А то пока не до железа :(

Answer 2

[TNT]

Спасибо всем за помощь. Проблема - банальна. Мегафон 3G рубит VPN, думаю рубит L2TP 1701 порт. Так как рабочий VPN чисто Cisco IPsec работает нормально.
С другой сети, получилось выйти через iPhone нормально.

UPDATE: Проблема даже не в мегафоне, а в кривых настройках Firewall. У меня было 4 правила, отдельных правила. Т.е. 500 UDP; 1701 UDP; 4500UDP; и 50 (ipsec-esp). А объединил все три UPD правила в одно, 500,1701,4500 и всё заработало. И на 3G тоже :)

Появился следующий вопрос, может поможете пожалуйста:
Через VPN подключение не вижу локальные ресурсы.
192.168.1.1 - это шлюз Mikrotik и DNS.
192.168.1.100 - это выдается IP адрес устройству которое подключается по VPN. Т.е. iPhone.
192.168.1.254 - хз для чего нужно указывать Local Address. Указал свободный. (Так же указывал и 192.168.1.1)
В локальной сетки есть девайсы 192.168.1.3 и 192.168.1.4
Вот с микротика через терминал пинги идут, а с iPhone когда он подключен по VPN пингов нету и веб интерфейс устройства не открывается. Хотя, шлюз 192.168.1.1 пингуется и инет работает, например yandex.ru.
Что нужно сделать, что бы локальные ресурсы были видны? arp-proxy делал как на LAN1(master) так и на bridge-local. Не помогает. Хотя подсеть одна же.

Comments

[Сайпутдин Омаров]

polyci