Доброго всем дня. Настраиваю на 2011 l2tp/ipsec сервер с авторизацией по RADIUS на Windows Server. На данный момент работает PPTP сервер, но Apple выпилила из новых ОС не безопасные подключения, т.е. часть пользователей не может работать по PPTP удаленно. Зашел в PPP -> l2tp server , вписал ipsec ключ, поставил галочку Включить и дефолтпрофиль созданный ниже. Создал новый пул адресов для дефолтного профиля l2tp(адреса с 5-200). Далее профиль: ppp profile print Код: name="l2tp" local-address=192.168.2.1 remote-address=l2tp_pool use-mpls=default use-compression=default use-encryption=yes only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up="" on-down="" Далее пошел в ip ipsec: Код: ip ipsec proposal print Flags: X - disabled, * - default 0 * name="default" auth-algorithms=sha1,md5 enc-algorithms=3des,des lifetime=30m pfs-group=modp768 1 name="l2tp" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=1d pfs-group=modp1024 Peer Код: 4 address=192.168.2.0/24 local-address=192.168.2.1 passive=yes port=500 auth-method=pre-shared-key secret="12345678" generate-policy=port-strict policy-template-group=default exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5 В firewall само-собой разрешен протокол с номером 50, и открыты порты на 500, 1701, 4500 При подключение получаю такую ошибку Код: ipsec,error 93.80.182.46 failed to pre-process ph2 packet. в тепличных условиях(т.е. на другом микротике внутри локальной сети) всё работает, а на смотрящем в интернет подключиться не удается. Но на этом же микротике поднят голый IPSEC туннель до другого филиала. В чем может быть проблема? Встречался ли ктонибудь с таким недугом? p.s. попадались гугл "решения" пересоздать дефолтную группу в ipsec. Это пробовали, конечно же не помогло. Благодарим всех откликнувшихся. Настаивалось по инструкции на wiki.mikrotik
Да дело в том, что даже c Windows не подключиться к l2tp/ipsec. Но в первом случае, лабораторном, всё чудесно работает как и с Windows так и с айфоном.
Стояла 6.28 и все работало. В мае 2016 купили hap ac с прошивкой 6.33. Настроил как обычно и все симптомы с тепличным режимом и ошибкой в реальном как у тебя. Дефолтная группа и прочее все пробовалось. Экспериментально выяснил, что начиная с прошивки 6.31 и самой старшей на конец мая 2016 выскакивает эта ошибка. После мая 2016 свежие прошивки не тестировал. Самая старшая версия на которой работает 6.30.4. Везде поставил 6.30.4. В багрепорт не писал. Просьба к авторизованным спецам, проверить и если баг есть, то просьба написать в багрепорт mikrotik. Роутеры hap ac и rb951g-2hnd. Ниже мои рабочие настройки l2tp ipsec на 6.30.4 Код: /interface l2tp-server server print enabled:yes max-mtu:1450 max-mru:1450 mrru:disabled authentication:mschap2 keepalive-timeout:30 default-profile:l2tp use-ipsec:no ipsec-secret: ppp profile print name="l2tp" local-address=10.0.10.1 remote-address=l2tp-pool bridge=lan-bridge use-mpls=default use-compression=default use-encryption=required only-one=default change-tcp-mss=yes address-list="" ip ipsec policy print group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes ip ipsec proposal print name="default" auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc lifetime=30m pfs-group=modp1024 ip ipsec peer print address=0.0.0.0/0 local-address=10.0.10.1 passive=yes port=500 auth-method=pre-shared-key secret="1234567890" generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5 ip firewall filter print 1 chain=input action=accept protocol=udp in-interface=all-ppp port=500,1701,4500 log=no log-prefix="" 2 chain=input action=accept protocol=ipsec-esp in-interface=all-ppp log=no log-prefix="" не знаю как напечатать вкладку action в ip ipsec policy, поэтому печатаю по пунктам Action:encrypt Level:require ЧекбоксTunnel:не отмечен IPSec Protocols:esp SA.Src.Address:0.0.0.0 SA.Dst.Address:0.0.0.0 Proposal:default Priority:0 На прошивке 6.30.4 все работает и подключаются: android, ios, macosx, xp, 7,8,10, freebsd, linux(на которой ещё не выпилили presharedkey метод, на ubuntu начиная c 14.10 он вырезан с корнем)
Нашел закономерность. Если изначально ipsec тоннель до другого офиса был построен по дефолтному proposal, тогда вероятность появления проблемы при l2tp/ipsec крайне велика. А если ipsec утащить в другой proposal, то всё работает. Отсюда вывод, никогда не направляйте на дефолтные профили/настройки.
Еще раз, там этот дефолт пропосал торчит в куче мест. Не понимаю, что означает изначально. Изначально он всегда на дефолт настроен. Возможно неправильно вопрос сформулировал, но я не понял как настроить? у Вас пропосал настроен на другой профиль, у меня на дефолт. Дефолтный ведь не удаляется. P.S. Даже когда вы конфиг удаляете, то когда вы заходите в ipsec там уже есть дефолт профиль. Я удалял конфу и настраивал через терминал не на дефолт профиль , те же яйца. Потому просьба. напечатайте все вашу конфу ppp -l2tp и ip-ipsec, и лучше даже скринами на мой e-mail всех вкладок, вымарав пароли и ip реальные. Буду очень признателен. Буду разбираться результаты вскрытия обещаю выложить и вам и в топик P.P.S. УРА! Решил проблему. Все работает /IP IPSec Group default по умолчанию и Proposal default по умолчанию. Причем создание другой группы и пропосал как раз ведет к ошибкам. Во первых в PPP L2TP server У меня НЕ отмечен чекбокс use ipsec и presharedkey там не задан. Если там отметить чекбокс и вписать presharedkey то на прошивке 6.38.1 создается динамическая политика в IP IPSEC peer которая не создавалась на версии 6.30, 6.33. Я не говорю l2tp server что будет использоваться ipsec и работаю без этой динамической политики ip ipsec peer. Если там вбить presharedkey то его оттуда не сотрешь ни в жизнь. Все настройки как я опубликовал выше, кроме одной. Ошибка была тут: /IP IPSec Peer local-address= Т.е. напротив local-address:пустое серое поле Тогда на этих настройках все работает от 6.28 до 6.38.1 и извне на внешний ip и изнутри сети и на внешний ip и на внутренний ip.