L2TP/IPsec Site-2-Site между Mikrotik и Win Server 2012 RRaS?

Question

[Suenoroco]

Добрый день. Вполне может быть нубский вопрос.
Может кто-то имеет успешный опыт в подобной задаче?
Связать 2 офиса, где на 1 стороне mikrotik RB951G-2HnD, а на другой сервер с RRAS?
Так как OVPN на микротике урезан, остается только вариант c l2tp/ipsec.
Интернеты пестрят мануалами по mikrotik+mikrotik или cisco asa и т.д. По данной теме не могу найти.

У нас имеются с белыми IP
RRAS 89.108.***.**
Mikrotik 188.65.***.***

PPTP клиент на микротике подцепляется к RRAS без проблем. А вот L2TP категорически не хочет.
Согласно мануалам, на Микротике выставил.
/interface l2tp-client
add allow=chap,mschap2 connect-to=89.108.***.** mrru=1600 name=l2tp-out1 \
password=**** user=****

/ip ipsec proporsal
add auth-algorithms=sha1,sha256 enc-algorithms=3des,aes-128-cbc,aes-256-cbc \
name=proposal1 pfs-group=none

/ip ipsec peer
add address=89.108.***.***/32 enc-algorithm=3des,aes-128,aes-256 exchange-mode=\
main-l2tp generate-policy=port-override secret=****
В настройках peer Passive выключено, Send Initial Contact включено, NAT Traversal включено.

В Remote peers появляется соединение, но обмен SA не происходит.

Поднимаем L2TP клиент:

Отсылается 5 аналогичных Control message, после чего соединение рвется.


Не могу понять в чем причина, так как к сожалению этот лог мне мало о чем говорит.

Пробовал прописывать policies вручную, тоже заканчивается фейлом.

Заранее спасибо за подсказки.

Comments

[Suenoroco]

Да, время совпадает.

[Suenoroco]

Такс. Вроде поднял VPN.
Переделал ipsec тунель на RRAS.
Включил l2tp сервер на микротик с галкой use ipsec(добавляет дефолтный peer)
Кинул соединение с RRAS на микротик, обменялись SA и дальше микротик начал ругаться на автоматически созданный policies.
Пока RRAS все еще стучался на микротик, кинул l2tp-out с микротика на RRAS. Так как SA уже есть, соединение прошло.
Через 20 секунд, соединение от RRAS до микротика, тоже поднялось.
С RRAS вижу всю сетку за Микротиком, с микротика не вижу сетку за RRAS.
Буду думать как прописать маршруты.

[Suenoroco]

Как и ожидалось, подобная контрукция неустойчива и ночью vpn упал. Ковыряем дальше.

[Suenoroco]

К сожалению нет, эти логи шли в memory. Поставлю сегодня на запись.

[Suenoroco]

Хм. Сегодня.
Cогласно паре гайдов, добавлены 2 правила NAT
add chain=srcnat dst-address=10.254.35.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=
На RRAS был пересоздан ipsec тунель, поменял местами локальные сетки в Endpoint 1 и 2.

Убил все соединения.
ipsec поднялся автоматом, появилась запись Remote Peer, обменялись SA, но вкладка policies осталось пустой.
После пересоздал соединение на RRAS до микротик, в свойствах поставил Persistent Connection.
Поднялось без проблем. Так как полиси на микротике не поднялись, прописал вручную маршруты.
Трафик ходит в обе стороны. Судя по вкладке SA и чудовищной загрузке проца на Микротике, даже шифруется.
3 часа, полет нормальный.
Поставил логи, надеюсь за ночь не упадет.

[Suenoroco]

В общем, работает. Но с костылем.
Сегодня откатился и сделал с нуля.

И так напомним еще раз. У нас на 1 стороне RRAS под Win Server 2012, белый IP, за RRAS есть локалка. На второй стороне Mikrotik RB951g-2hnd, ROS 6.27, белый IP, за ним есть локалка.

На стороне RRAS
В настройках фаерволла создаем тунель до микротика.
В консоли RRAS в интерфейсах создаем demand-dial соединение до Микротика, через l2tp. Добавляем сразу статический маршрут и в свойстах ставим галку persistent connection.

На стороне Микротика.
Добавляем pool
PPP создаем профиль, secrets.
Включаем L2TP сервер с IPsec. Делаем интерфейс. Вписываем в них созданные профиль и логин\пароль.
Добавляем в NAT правило add chain=srcnat dst-address=(локалка за RRAS) src-address=(локалка Микротик)
В IPsec добавляем proporsal c галками sha1 3des aes-128 cbc aes-256 cbc

Поднимаем соединение от RRAS до Микротик используя лог\пасс созданные на микротике.
В этот момент поднимается IPsec transport, но(не могу понять почему) соединение не происходит.

Тогда в ход идет костыль.
Создаем l2tp-out интерфейс на микротике. Кидаем с него соединение до RRAS, поднимается моментально.
После кидаем соединение с RRAS на микротик, все поднимается.

Добавляем маршрут в локалку за RRAS.
Пакеты из сетки в сетку ходят зашифрованными. Все работает.
Но, в случае если перезагружается одна из сторон. Каждый раз поправлять костыль... как то не очень.
Буду искать решение, в крайнем случае наверно можно повесить костыль на скрипт.

Answer 1

[Suenoroco]

Вытащу сюда из комментов.
Сделано помоему крайне криво, но работает.
Из странностей, переодически пропадают ipsec policies, при этом remote peer и SA остаются.

"И так напомним еще раз. У нас на 1 стороне RRAS под Win Server 2012, белый IP, за RRAS есть локалка. На второй стороне Mikrotik RB951g-2hnd, ROS 6.27, белый IP, за ним есть локалка.

На стороне RRAS
В настройках фаерволла создаем тунель до микротика.
В консоли RRAS в интерфейсах создаем demand-dial соединение до Микротика, через l2tp. Добавляем сразу статический маршрут и в свойстах ставим галку persistent connection.

На стороне Микротика.
Добавляем pool
PPP создаем профиль, secrets.
Включаем L2TP сервер с IPsec. Делаем интерфейс. Вписываем в них созданные профиль и логин\пароль.
Добавляем в NAT правило add chain=srcnat dst-address=(локалка за RRAS) src-address=(локалка Микротик)
В IPsec добавляем proporsal c галками sha1 3des aes-128 cbc aes-256 cbc

Поднимаем соединение от RRAS до Микротик используя лог\пасс созданные на микротике.
В этот момент поднимается IPsec transport, но(не могу понять почему) соединение не происходит.

Тогда в ход идет костыль.
Создаем l2tp-out интерфейс на микротике. Кидаем с него соединение до RRAS, поднимается моментально.
После кидаем соединение с RRAS на микротик, все поднимается.

Добавляем маршрут в локалку за RRAS.
Пакеты из сетки в сетку ходят зашифрованными. Все работает.
Но, в случае если перезагружается одна из сторон. Каждый раз поправлять костыль... как то не очень.
Буду искать решение, в крайнем случае наверно можно повесить костыль на скрипт."

Comments

[Suenoroco]

Иииии UDP пакеты не ходят. lol

Answer 2

[VecH]

Вот что вычитал недавно

На микротиках L2TP/IPSEC пока что позволяет работать только одному клиенту изнутри сети, вроде бы разработчики планируют это поправить, но сроков нет. Если нужно несколько подключений из-за одного NATа, то вполне можно использовать PPTP.

Comments

[Suenoroco]

Есть такая штука. Поэтому и было решено делать site-2-site.
PPTP плохой вариант для корп. сети.