L2TP/IPsec VPN server na RouterOS

Fórum s jednoduchými tipy na zlepšení každodenní řehole. Převážně pro Linux, macOS a RouterOS.
Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1564
Registrován: 13 years ago
antispam: Ano
Kontaktovat uživatele:

L2TP/IPsec VPN server na RouterOS

Příspěvekod zdenek.svarc » 1 year ago

- Návod pro nejjednodušší nastavení L2TP/IPsec VPN pro klienta ověřujícího se jménem a heslem.
- Poznámka: Z jedné veřejné IP adresy (například lokální síť za NATem) není možné navázet víc než jedno spojení na stejný L2TP/IPsec server.
- Na iOS (iPhone, iPad) zvolte jako klienta L2TP, nikoliv IPSec.

Zapnutí L2TP serveru

Kód: Vybrat vše

/interface l2tp-server server set enabled=yes

Nastavení IPsec

Kód: Vybrat vše

/ip ipsec proposal set default enc-algorithms=3des auth-algorithms=sha1,sha256,sha512 disabled=no lifetime=30m pfs-group=modp1024

Nastavení IPsec peeru

Kód: Vybrat vše

/ip ipsec peer add address=0.0.0.0/0 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2 dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 lifetime=1d nat-traversal=yes port=500 secret=XXXXX send-initial-contact=yes

Popis:
- adress 0.0.0.0/ bude akceptovat navázání z jakékoliv adresy
- secret XXXXXX je první autentizační úroveň

Nastavení přihlašovacího jména/hesla a přiřazených IP adres

Kód: Vybrat vše

/ppp secret add name=user password=pass profile=default-encryption local-address=[local address] remote-address=[remote address] service=l2tp

Popis:
- local-address je IP adresa, která se u VPN klienta přiřadí jako vzdálená, takže z pohledu serveru lokální
- remote-address je IP adresa, která se u klienta nastaví jako lokální, takže z pohledu serveru jako vzdálená
0 x

chury721
Příspěvky: 35
Registrován: 6 years ago
Bydliště: Ústí nad Labem
Kontaktovat uživatele:

Příspěvekod chury721 » 1 year ago

Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

Kód: Vybrat vše

failed to pre-process ph2 packet 
peer sent packet for dead phase2
Přílohy
Snímek obrazovky 2017-03-22 v 1.53.47.png
Snímek obrazovky 2017-03-22 v 1.53.47.png (9.87 KiB) Zobrazeno 13481 x
0 x

hocimin1
Příspěvky: 1082
Registrován: 12 years ago
Bydliště: Náchod

Příspěvekod hocimin1 » 1 year ago

jakou mas verzi RouterOS ?

https://forum.mikrotik.com/viewtopic.php?t=111772

chury721 píše:Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

Kód: Vybrat vše

failed to pre-process ph2 packet 
peer sent packet for dead phase2
0 x

chury721
Příspěvky: 35
Registrován: 6 years ago
Bydliště: Ústí nad Labem
Kontaktovat uživatele:

Příspěvekod chury721 » 1 year ago

Nejnovejší 6.38.5 tušim. Architektura mipsbe a ještě jsem zkoušel x86 - stejná chyba.
Naposledy upravil(a) chury721 dne 22 Mar 2017 19:20, celkem upraveno 1 x.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1564
Registrován: 13 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 1 year ago

chury721 píše:Je tam někde nějaká odlišnost v nastavení pro klienta iOS/Mac?
Takto nastavené mi to píše:

Kód: Vybrat vše

failed to pre-process ph2 packet 
peer sent packet for dead phase2

Přesně tenhle případ nastává, když je na serveru IPsec proposal nastavený na auth algoritmus, který klient nepodporuje, například macOS dosud podporuje pouze sha1 (!!!), takže když na serveru nastavím sha256 nebo sha512, klient se nespojí a do logu to prskne přesně tu samou chybu. Člověk nemusí být génius, aby si dal dvě a dvě dohromady, takže tohle záměrné oslabování bezpečnosti ze strany Apple (a není to jen Apple) mě pěkně štve.

Ale zpátky k věci. Výše uvedený config (SSH1, 3DES) mám odzkoušený na macOS 10.12.3 klientovi proti serveru CCR1016 (6.38.5).
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1564
Registrován: 13 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 1 year ago

Tak ověřeno na iOS 10.2.1 a funguje v pořádku. Je třeba se nenechat zmást v konfiguraci iOS a vybrat L2TP, nikoliv IPSec.

ios-vpn.png
ios-vpn.png (31.04 KiB) Zobrazeno 13399 x
0 x

JirkaK
Příspěvky: 68
Registrován: 3 years ago

Příspěvekod JirkaK » 1 year ago

Nedari se mi rozchodit L2TP/IPSEC dle vyse uvedeneho.
Pripojuji se z Win10 (IP 37.48.45.90) na Mikrotik, ktery ma pres NAT1:1 verejnou IP (10.100.65.1 je jeho neverejna adresa na WANu).


Vypis logu:
respond new phase 1 (Identity Protection): 10.100.65.1[500]<=>37.48.45.90[36580]

the packet is retransmitted by 37.48.45.90[36580].

ISAKMP-SA established 10.100.65.1[4500]-37.48.45.90[36581] spi:fc5db75291739b80:c8790371eb816d47

purging ISAKMP-SA 10.100.65.1[4500]<=>37.48.45.90[36581] spi=fc5db75291739b80:c8790371eb816d47.

ISAKMP-SA deleted 10.100.65.1[4500]-37.48.45.90[36581] spi:fc5db75291739b80:c8790371eb816d47 rekey:1
JK
0 x

hocimin1
Příspěvky: 1082
Registrován: 12 years ago
Bydliště: Náchod

Příspěvekod hocimin1 » 1 year ago

REsilo se to tu kdyz je NAT 1:1 tal to nejde. Musis se pripojit primo na verejku, nebo to ochcat pres dst-nat

viewtopic.php?f=5&t=20473&p=199373&hilit=L2TP#p199373
0 x

asdfgh
Příspěvky: 116
Registrován: 7 years ago

Příspěvekod asdfgh » 1 year ago

zdravím všechny,
máte někdo zkušenosti s vytvořením VPN (L2TP) z iPhonu (ios 10.3.2 + Vodafone) na miktrotik (v6.39.2) s veřejnou IPv4? Snažím se to dle návodů rozchodit, ale dle logu se dostanu do fáze 1 a přijmu první L2TP UDP paket. Poté už jen čistí a smaže komunikaci.

Děkuji.
1 x

Pintero
Příspěvky: 1245
Registrován: 12 years ago
antispam: Ano

Příspěvekod Pintero » 1 year ago

Mě to běhá jak s VDF, tak s TM dle návodu Zdenka, viz. první příspěvek. Akorát mám na routeru 6.34.6
0 x

joker
Příspěvky: 372
Registrován: 8 years ago
antispam: Ano

Příspěvekod joker » 5 months ago

zdenek.svarc píše:Tak ověřeno na iOS 10.2.1 a funguje v pořádku. Je třeba se nenechat zmást v konfiguraci iOS a vybrat L2TP, nikoliv IPSec.

ios-vpn.png


Muzu vedet, proc nefunguje volba ipsec resp. jaky je rozdil? Jde o to ze

mam server, na ktery volba ipsec z iphonu funguje.
mam mikrotik, na ktery volba ipsec z iphonu NEfunguje, ale l2tp funguje

no a potrebuju propojit ten server a ten mikrotik (vyse uvedne) do jedne site a obavam se, aby to slo (neznaje presne rozdily mezi ipsec a l2tp)... pricemz ten server nemohu menit a mikrotik nevim, zda umoznuje neco menit

A od doby zruseni pptp v ios uz si clovek moc nevybere
0 x

Uživatelský avatar
Myghael
Příspěvky: 1142
Registrován: 6 years ago

Příspěvekod Myghael » 5 months ago

Tak ono PPTP už dneska aktivně blokují i některé hotspoty, třeba taková síť eduroam (wifiny ve školách). Jako chápu, že ta technologie už je dneska zastaralá a všechno, ale už mi leze krkem to všeobecné vnucování nového za každou cenu a snahou "zabíjet" staré i jinak než tím, že to postupně všichni opustí sami, jako všichni sami přestali používat diskety (bavíme-li se o běžných PC, ne specialitách např. v průmyslu, kde zřejmě diskety budou v provozu k vidění i za 20 let).
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

sacnok
Příspěvky: 232
Registrován: 3 years ago

Příspěvekod sacnok » 4 months ago

zdenek.svarc píše:- Poznámka: Z jedné veřejné IP adresy (například lokální síť za NATem) není možné navázet víc než jedno spojení na stejný L2TP/IPsec server.


Toto platí obecně pro jakýkoliv L2TP/IPsec server, nebo je to omezení pouze pro Mikrotik?
0 x

Pelirob
Příspěvky: 110
Registrován: 5 years ago

Příspěvekod Pelirob » 4 months ago

No diskety jsou ještě docela používané. Ale nedávno mě jeden známý uháněl o chromdioxidové kazety, protože mají ve výrobě několik automatů, které mají obslužný program nahraný na kazetách. Stará zásoba jim postupně došla a nové nejsou k sehnání ... :-)

Myghael píše:Tak ono PPTP už dneska aktivně blokují i některé hotspoty, třeba taková síť eduroam (wifiny ve školách). Jako chápu, že ta technologie už je dneska zastaralá a všechno, ale už mi leze krkem to všeobecné vnucování nového za každou cenu a snahou "zabíjet" staré i jinak než tím, že to postupně všichni opustí sami, jako všichni sami přestali používat diskety (bavíme-li se o běžných PC, ne specialitách např. v průmyslu, kde zřejmě diskety budou v provozu k vidění i za 20 let).
0 x

Uživatelský avatar
Myghael
Příspěvky: 1142
Registrován: 6 years ago

Příspěvekod Myghael » 4 months ago

Ano, v průmyslu a podobně, sám je používám také, tu a tam se potýkám i páskami (nemám tím na mysli jen moderní LTO kazety, myslím ty staré pásky na cívkách). V původním příspěvku jsem tím "běžně" měl na mysli domácí a kancelářské uživatele, a tam v dnešní době disketu uvidíš jedině jako obrázek na tlačítku "Uložit" a "Uložit jako...", nevejdeš-li teda do kanceláře v nějaké už delší dobu fungující fabrice nebo podobném místě.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.


Zpět na „Tipy“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host