L2TP/IPsec VPN server na RouterOS

Fórum s jednoduchými tipy na zlepšení každodenní řehole. Převážně pro Linux, macOS a RouterOS.
Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1448
Registrován: 12 years ago
antispam: Ano
Kontaktovat uživatele:

L2TP/IPsec VPN server na RouterOS

Příspěvekod zdenek.svarc » 9 months ago

- Návod pro nejjednodušší nastavení L2TP/IPsec VPN pro klienta ověřujícího se jménem a heslem.
- Poznámka: Z jedné veřejné IP adresy (například lokální síť za NATem) není možné navázet víc než jedno spojení na stejný L2TP/IPsec server.
- Na iOS (iPhone, iPad) zvolte jako klienta L2TP, nikoliv IPSec.

Zapnutí L2TP serveru

Kód: Vybrat vše

/interface l2tp-server server set enabled=yes

Nastavení IPsec

Kód: Vybrat vše

/ip ipsec proposal set default enc-algorithms=3des auth-algorithms=sha1,sha256,sha512 disabled=no lifetime=30m pfs-group=modp1024

Nastavení IPsec peeru

Kód: Vybrat vše

/ip ipsec peer add address=0.0.0.0/0 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2 dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 lifetime=1d nat-traversal=yes port=500 secret=XXXXX send-initial-contact=yes

Popis:
- adress 0.0.0.0/ bude akceptovat navázání z jakékoliv adresy
- secret XXXXXX je první autentizační úroveň

Nastavení přihlašovacího jména/hesla a přiřazených IP adres

Kód: Vybrat vše

/ppp secret add name=user password=pass profile=default-encryption local-address=[local address] remote-address=[remote address] service=l2tp

Popis:
- local-address je IP adresa, která se u VPN klienta přiřadí jako vzdálená, takže z pohledu serveru lokální
- remote-address je IP adresa, která se u klienta nastaví jako lokální, takže z pohledu serveru jako vzdálená
0 x

chury721
Příspěvky: 34
Registrován: 5 years ago
Bydliště: Ústí nad Labem
Kontaktovat uživatele:

Příspěvekod chury721 » 9 months ago

Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

Kód: Vybrat vše

failed to pre-process ph2 packet 
peer sent packet for dead phase2
Přílohy
Snímek obrazovky 2017-03-22 v 1.53.47.png
Snímek obrazovky 2017-03-22 v 1.53.47.png (9.87 KiB) Zobrazeno 2369 x
0 x
AmigoNet.cz ... nezasíláme do zahraničí, díky za pochopení

hocimin1
Příspěvky: 927
Registrován: 11 years ago
Bydliště: Náchod

Příspěvekod hocimin1 » 9 months ago

jakou mas verzi RouterOS ?

https://forum.mikrotik.com/viewtopic.php?t=111772

chury721 píše:Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

Kód: Vybrat vše

failed to pre-process ph2 packet 
peer sent packet for dead phase2
0 x

chury721
Příspěvky: 34
Registrován: 5 years ago
Bydliště: Ústí nad Labem
Kontaktovat uživatele:

Příspěvekod chury721 » 9 months ago

Nejnovejší 6.38.5 tušim. Architektura mipsbe a ještě jsem zkoušel x86 - stejná chyba.
Naposledy upravil(a) chury721 dne 22 Mar 2017 19:20, celkem upraveno 1 x.
0 x
AmigoNet.cz ... nezasíláme do zahraničí, díky za pochopení

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1448
Registrován: 12 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 9 months ago

chury721 píše:Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

Kód: Vybrat vše

failed to pre-process ph2 packet 
peer sent packet for dead phase2

Přesně tenhle případ nastává, když je na serveru IPsec proposal nastavený na auth algoritmus, který klient nepodporuje, například macOS dosud podporuje pouze sha1 (!!!), takže když na serveru nastavím sha256 nebo sha512, klient se nespojí a do logu to prskne přesně tu samou chybu. Člověk nemusí být génius, aby si dal dvě a dvě dohromady, takže tohle záměrné oslabování bezpečnosti ze strany Apple (a není to jen Apple) mě pěkně štve.

Ale zpátky k věci. Výše uvedený config (SSH1, 3DES) mám odzkoušený na macOS 10.12.3 klientovi proti serveru CCR1016 (6.38.5).
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1448
Registrován: 12 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 9 months ago

Tak ověřeno na iOS 10.2.1 a funguje v pořádku. Je třeba se nenechat zmást v konfiguraci iOS a vybrat L2TP, nikoliv IPSec.

ios-vpn.png
ios-vpn.png (31.04 KiB) Zobrazeno 2287 x
0 x

JirkaK
Příspěvky: 37
Registrován: 2 years ago

Příspěvekod JirkaK » 8 months ago

Nedari se mi rozchodit L2TP/IPSEC dle vyse uvedeneho.
Pripojuji se z Win10 (IP 37.48.45.90) na Mikrotik, ktery ma pres NAT1:1 verejnou IP (10.100.65.1 je jeho neverejna adresa na WANu).


Vypis logu:
respond new phase 1 (Identity Protection): 10.100.65.1[500]<=>37.48.45.90[36580]

the packet is retransmitted by 37.48.45.90[36580].

ISAKMP-SA established 10.100.65.1[4500]-37.48.45.90[36581] spi:fc5db75291739b80:c8790371eb816d47

purging ISAKMP-SA 10.100.65.1[4500]<=>37.48.45.90[36581] spi=fc5db75291739b80:c8790371eb816d47.

ISAKMP-SA deleted 10.100.65.1[4500]-37.48.45.90[36581] spi:fc5db75291739b80:c8790371eb816d47 rekey:1
JK
0 x

hocimin1
Příspěvky: 927
Registrován: 11 years ago
Bydliště: Náchod

Příspěvekod hocimin1 » 8 months ago

REsilo se to tu kdyz je NAT 1:1 tal to nejde. Musis se pripojit primo na verejku, nebo to ochcat pres dst-nat

viewtopic.php?f=5&t=20473&p=199373&hilit=L2TP#p199373
0 x

asdfgh
Příspěvky: 92
Registrován: 6 years ago

Příspěvekod asdfgh » 5 months ago

zdravím všechny,
máte někdo zkušenosti s vytvořením VPN (L2TP) z iPhonu (ios 10.3.2 + Vodafone) na miktrotik (v6.39.2) s veřejnou IPv4? Snažím se to dle návodů rozchodit, ale dle logu se dostanu do fáze 1 a přijmu první L2TP UDP paket. Poté už jen čistí a smaže komunikaci.

Děkuji.
1 x

Pintero
Příspěvky: 1093
Registrován: 11 years ago
antispam: Ano

Příspěvekod Pintero » 5 months ago

Mě to běhá jak s VDF, tak s TM dle návodu Zdenka, viz. první příspěvek. Akorát mám na routeru 6.34.6
0 x


Zpět na „Tipy“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host