• L2TP/IPsec Site-2-Site между Mikrotik и Win Server 2012 RRaS?

    @Suenoroco Автор вопроса
    Вытащу сюда из комментов.
    Сделано помоему крайне криво, но работает.
    Из странностей, переодически пропадают ipsec policies, при этом remote peer и SA остаются.

    "И так напомним еще раз. У нас на 1 стороне RRAS под Win Server 2012, белый IP, за RRAS есть локалка. На второй стороне Mikrotik RB951g-2hnd, ROS 6.27, белый IP, за ним есть локалка.

    На стороне RRAS
    В настройках фаерволла создаем тунель до микротика.
    В консоли RRAS в интерфейсах создаем demand-dial соединение до Микротика, через l2tp. Добавляем сразу статический маршрут и в свойстах ставим галку persistent connection.

    На стороне Микротика.
    Добавляем pool
    PPP создаем профиль, secrets.
    Включаем L2TP сервер с IPsec. Делаем интерфейс. Вписываем в них созданные профиль и логин\пароль.
    Добавляем в NAT правило add chain=srcnat dst-address=(локалка за RRAS) src-address=(локалка Микротик)
    В IPsec добавляем proporsal c галками sha1 3des aes-128 cbc aes-256 cbc

    Поднимаем соединение от RRAS до Микротик используя лог\пасс созданные на микротике.
    В этот момент поднимается IPsec transport, но(не могу понять почему) соединение не происходит.

    Тогда в ход идет костыль.
    Создаем l2tp-out интерфейс на микротике. Кидаем с него соединение до RRAS, поднимается моментально.
    После кидаем соединение с RRAS на микротик, все поднимается.

    Добавляем маршрут в локалку за RRAS.
    Пакеты из сетки в сетку ходят зашифрованными. Все работает.
    Но, в случае если перезагружается одна из сторон. Каждый раз поправлять костыль... как то не очень.
    Буду искать решение, в крайнем случае наверно можно повесить костыль на скрипт."
    Ответ написан
    1 комментарий