Задать вопрос

L2TP/IPsec Site-2-Site между Mikrotik и Win Server 2012 RRaS?

Добрый день. Вполне может быть нубский вопрос.
Может кто-то имеет успешный опыт в подобной задаче?
Связать 2 офиса, где на 1 стороне mikrotik RB951G-2HnD, а на другой сервер с RRAS?
Так как OVPN на микротике урезан, остается только вариант c l2tp/ipsec.
Интернеты пестрят мануалами по mikrotik+mikrotik или cisco asa и т.д. По данной теме не могу найти.

У нас имеются с белыми IP
RRAS 89.108.***.**
Mikrotik 188.65.***.***

PPTP клиент на микротике подцепляется к RRAS без проблем. А вот L2TP категорически не хочет.
Согласно мануалам, на Микротике выставил.
/interface l2tp-client
add allow=chap,mschap2 connect-to=89.108.***.** mrru=1600 name=l2tp-out1 \
password=**** user=****

/ip ipsec proporsal
add auth-algorithms=sha1,sha256 enc-algorithms=3des,aes-128-cbc,aes-256-cbc \
name=proposal1 pfs-group=none

/ip ipsec peer
add address=89.108.***.***/32 enc-algorithm=3des,aes-128,aes-256 exchange-mode=\
main-l2tp generate-policy=port-override secret=****
В настройках peer Passive выключено, Send Initial Contact включено, NAT Traversal включено.

В Remote peers появляется соединение, но обмен SA не происходит.
9f1280c1c0ca4744bb49064f42b00744.JPG
Поднимаем L2TP клиент:
051a10003e29464783fadf3c6049cb99.jpg
Отсылается 5 аналогичных Control message, после чего соединение рвется.
1cd84000cd044ff6a404675dabc02125.JPG

Не могу понять в чем причина, так как к сожалению этот лог мне мало о чем говорит.

Пробовал прописывать policies вручную, тоже заканчивается фейлом.

Заранее спасибо за подсказки.
  • Вопрос задан
  • 4854 просмотра
Подписаться 6 Оценить 6 комментариев
Пригласить эксперта
Ответы на вопрос 2
@Suenoroco Автор вопроса
Вытащу сюда из комментов.
Сделано помоему крайне криво, но работает.
Из странностей, переодически пропадают ipsec policies, при этом remote peer и SA остаются.

"И так напомним еще раз. У нас на 1 стороне RRAS под Win Server 2012, белый IP, за RRAS есть локалка. На второй стороне Mikrotik RB951g-2hnd, ROS 6.27, белый IP, за ним есть локалка.

На стороне RRAS
В настройках фаерволла создаем тунель до микротика.
В консоли RRAS в интерфейсах создаем demand-dial соединение до Микротика, через l2tp. Добавляем сразу статический маршрут и в свойстах ставим галку persistent connection.

На стороне Микротика.
Добавляем pool
PPP создаем профиль, secrets.
Включаем L2TP сервер с IPsec. Делаем интерфейс. Вписываем в них созданные профиль и логин\пароль.
Добавляем в NAT правило add chain=srcnat dst-address=(локалка за RRAS) src-address=(локалка Микротик)
В IPsec добавляем proporsal c галками sha1 3des aes-128 cbc aes-256 cbc

Поднимаем соединение от RRAS до Микротик используя лог\пасс созданные на микротике.
В этот момент поднимается IPsec transport, но(не могу понять почему) соединение не происходит.

Тогда в ход идет костыль.
Создаем l2tp-out интерфейс на микротике. Кидаем с него соединение до RRAS, поднимается моментально.
После кидаем соединение с RRAS на микротик, все поднимается.

Добавляем маршрут в локалку за RRAS.
Пакеты из сетки в сетку ходят зашифрованными. Все работает.
Но, в случае если перезагружается одна из сторон. Каждый раз поправлять костыль... как то не очень.
Буду искать решение, в крайнем случае наверно можно повесить костыль на скрипт."
Ответ написан
@VecH
Вот что вычитал недавно
На микротиках L2TP/IPSEC пока что позволяет работать только одному клиенту изнутри сети, вроде бы разработчики планируют это поправить, но сроков нет. Если нужно несколько подключений из-за одного NATа, то вполне можно использовать PPTP.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы