Задать вопрос
@E_gorka
Сисадмин

L2tp+ipsec. Windows 2008 r2 в качестве сервера и mikrotik в качестве клиента. Как подключить?

Есть сервер Windows 2008 r2. Обновить до следующей версии 2012-2016 возможности нет, обновления все стоят. Поднята роль "Маршрутизация и удаленный доступ", настроен l2tp сервер с предварительным ключом. Используется проверка подлинности EAP и MS-CHAP v2.
На фаерволе включено правило "Маршрутизация и удаленный доступ (L2TP - входящий)" и руками разрешен входящий траффик udp 500,1701.4500, а так же протокол gre.
Клиенты на win7 и win10 подключаются без проблем.

Есть mikrotik с routeros-mipsbe 6.42.2. Пытаюсь настроить его как клиента. Не выходит.
настройки:
[Admin@_Office] > interface l2tp-client print 
Flags: X - disabled, R - running 
 0 X  name="l2tp-test" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=8.8.8.8 user="Admin" password="321pusk" 
      profile=default-encryption keepalive-timeout=60 use-ipsec=yes ipsec-secret="hrenpodberesh" allow-fast-path=no 
      add-default-route=no dial-on-demand=no allow=mschap2

[Admin@_Office] > ppp profile print 
Flags: * - default 
 3   name="profile1" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=default 
     use-upnp=default address-list="" on-up="" on-down="" 

 4 * name="default-encryption" use-mpls=default use-compression=default use-encryption=yes only-one=default change-tcp-mss=yes 
     use-upnp=default address-list="" on-up="" on-down="" 

[Admin@_Office] > ip ipsec proposal print 
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc,3des lifetime=30m pfs-group=none 

 1    name="proposal1" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-128-cbc,3des lifetime=30m pfs-group=none

[Admin@_Office] > ip ipsec peer print 
Flags: X - disabled, D - dynamic, R - responder 
 0 X   address=8.8.8.8/32 auth-method=pre-shared-key secret="hrenpodberesh" generate-policy=no 
       policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=yes proposal-check=obey 
       hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des dh-group=modp1024 dpd-interval=2m dpd-maximum-failures=5


log подключения

Jul/11/2018 17:05:11 ipsec,debug sendto Information delete.
Jul/11/2018 17:05:11 ipsec,info ISAKMP-SA deleted 1.1.1.1[500]-8.8.8.8[500] spi:7eafc88e72e2d8a8:6eb7aabead73e487 rekey:1
Jul/11/2018 17:05:11 ipsec flushing active SAs due to setup change..
Jul/11/2018 17:05:12 ipsec,debug 0.0.0.0[500] used as isakmp port (fd=18)
Jul/11/2018 17:05:12 ipsec,debug 0.0.0.0[4500] used as isakmp port with NAT-T (fd=20)
Jul/11/2018 17:05:15 ipsec,debug failed to bind to ::[500] Bad file descriptor
Jul/11/2018 17:05:15 ipsec flushing active SAs due to setup change..


ip ipsec peer выключен, включение ни к чему не приводит.

Прошу помощи.
  • Вопрос задан
  • 824 просмотра
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 1
@E_gorka Автор вопроса
Сисадмин
Настроил клиента на Centos 7 по инструкции
https://github.com/hwdsl2/setup-ipsec-vpn/blob/mas...


[root@l2tp ~]# cat /etc/strongswan/ipsec.conf | grep -v "^$\|#"
config setup
conn %default
  ikelifetime=60m
  keylife=20m
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=3des-sha1-modp1024!
  esp=3des-sha1!
conn myvpn
  keyexchange=ikev1
  left=%defaultroute
  auto=add
  authby=secret
  type=transport
  leftprotoport=17/1701
  rightprotoport=17/1701
  right=8.8.8.8

[root@l2tp ~]# cat /etc/xl2tpd/xl2tpd.conf
[lac myvpn]
lns = 8.8.8.8
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes

[root@l2tp ~]# cat /etc/ppp/options.l2tpd.client
ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
mtu 1280
mru 1280
noipdefault
defaultroute
usepeerdns
connect-delay 5000
name Admin
password 321pusk


Особо интересным считаю параметры
ike=3des-sha1-modp1024!
esp=3des-sha1!
но даже вооружившись этими знаниями, на микротике настроить клиента не удалось.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы