Подскажите плиз как побороть проблему Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено
Настраивал по ману
Настройка L2TP
Создадим еще один пул IP адресов из той-же подсети, который будет использоваться для VPN клиентов:
/ip pool add name=lan_vpn ranges=10.20.0.200-10.20.0.254
Создайте новый PPP профиль:
/ppp profile add name=l2tp-vpn-lan local-address=10.20.0.1 \
remote-address=lan-vpn dns-server=10.20.0.1
Включите L2TP сервер. Для наших целей достаточно только метода аутентификации mschap2.
/interface l2tp-server server set enabled=yes authentication=mschap2 \
default-profile=l2tp-vpn-lan
Создайте пользователя:
/ppp secret add name=userlogin password=userpassword service=l2tp \
profile=l2tp-vpn-lan
Настройка IPSec
Созадем ipsec peer:
/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key \
secret="shared_password_key" exchange-mode=main-l2tp send-initial-contact=yes \
nat-traversal=yes proposal-check=obey hash-algorithm=sha1 \
enc-algorithm=3des dh-group=modp1024 generate-policy=yes \
lifetime="1d 00:00:00" dpd-interval=120 dpd-maximum-failures=5
Некоторые разъяснения:
address=0.0.0.0/0 - разрешаем подключение с любого IP адреса;
auth-method=pre-shared-key - аутентификация компьютера с помощью общего ключа;
secret="shared_password_key" - пароль общего ключа;
Созадем ipsec proposal
/ip ipsec proposal set default auth-algorithms=sha1 \
enc-algorithms=3des,aes-256 lifetime=30m pfs-group=
L2TP/IPSec
-
Vladislav_A
- Сообщения: 71
- Зарегистрирован: 27 ноя 2012, 17:30
Каую именно проблему?
Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено?
Если несколько клиентов находятся за NAT, но при этом у них разный внешний IP - нет проблем, все работает.
А если имеется ввиду "несколько клиентов находятся за одним общим NAT" - то тут уже ничем не поможешь.
Это особенность работы данного VPN через NAT
Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено?
Если несколько клиентов находятся за NAT, но при этом у них разный внешний IP - нет проблем, все работает.
А если имеется ввиду "несколько клиентов находятся за одним общим NAT" - то тут уже ничем не поможешь.
Это особенность работы данного VPN через NAT
-
evgeniy7676
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36
при поднятом l2tp ipsec encoding MPPE128 stateles, а должен быть cbc(des3_ede) + hmac(sha1) ,кто сталкивался подскажите мои настройки
/ppp profile
add change-tcp-mss=yes name=profile_vpn only-one=yes use-encryption=required
/interface l2tp-client
add add-default-route=no allow=mschap2 connect-to=91.xxx.xxx.140 \
dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=\
1450 mrru=disabled name=l2tp-out password=1234567890 profile=profile_vpn \
user=test
/ip firewall filter
add chain=input comment=l2tp dst-port=500,4500,1701 protocol=udp
add chain=input comment=ipsec protocol=ipsec-esp
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip ipsec peer
add address=91.xxx.xxx.140/32 enc-algorithm=3des exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=uygefwehrvjpoew
/ppp profile
add change-tcp-mss=yes name=profile_vpn only-one=yes use-encryption=required
/interface l2tp-client
add add-default-route=no allow=mschap2 connect-to=91.xxx.xxx.140 \
dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=\
1450 mrru=disabled name=l2tp-out password=1234567890 profile=profile_vpn \
user=test
/ip firewall filter
add chain=input comment=l2tp dst-port=500,4500,1701 protocol=udp
add chain=input comment=ipsec protocol=ipsec-esp
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip ipsec peer
add address=91.xxx.xxx.140/32 enc-algorithm=3des exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=uygefwehrvjpoew
-
corbenSG
- Сообщения: 1
- Зарегистрирован: 01 фев 2017, 12:13
Подниму старую тему.
Вроде как с прошивки 38 (http://tuncis.mt.lv/viewtopic.php?t=112 ... 69#p566926) появилась возможность что бы несколько пользователей за натом могли подключиться l2tp/ipsec.
я так понял что нужно параметр generate-policy: port-strict.
Но не взелетело. Может кто подскажет как быть?
Вроде как с прошивки 38 (http://tuncis.mt.lv/viewtopic.php?t=112 ... 69#p566926) появилась возможность что бы несколько пользователей за натом могли подключиться l2tp/ipsec.
я так понял что нужно параметр generate-policy: port-strict.
Но не взелетело. Может кто подскажет как быть?
-
Serafimko
- Сообщения: 28
- Зарегистрирован: 09 янв 2017, 11:39
У меня аналогичная проблема
generate-policy: port-strict.
и все равно только один клиент за NAT может подключится.
Может и правда есть выход?
generate-policy: port-strict.
и все равно только один клиент за NAT может подключится.
Может и правда есть выход?
-
k0t
- Сообщения: 2
- Зарегистрирован: 08 фев 2017, 12:27
Есть кто нибудь, кому удалось победить проблему? У меня на прошивке 6.38.1 проблема проявляется в полный рост. В микротиках я новичек, может нужно что-то дополнительно включить? Или может прошивку все же использовать другую, а то я совсем запутался в ихних changelog
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
k0t писал(а):Есть кто нибудь, кому удалось победить проблему? У меня на прошивке 6.38.1 проблема проявляется в полный рост. В микротиках я новичек, может нужно что-то дополнительно включить? Или может прошивку все же использовать другую, а то я совсем запутался в ихних changelog
Ну пройдитесь же по Интернету, вот с официального форума Микротика,
http://forum.mikrotik.com/viewtopic.php?f=2&t=103792&p=582032&hilit=L2TP+NAT#p582032
Прочтите ответ ТехПоддержки (третье сообщение).
На счёт прошивок, а что в них путаться,есть три линейки прошивок:
это бета - это Release candidate
есть текущая с новыми функциями и так далее - это Current
и есть стабильная с постоянными исправлениями - это Bugfix only
Каждый админ сам выбирает свой путь(какую линейку прошивок использовать), но где-то хочется и что-то новое пощупать, поэтому и Release candidate не грех потрогать,
понятно, что если оборудование обслуживает коммерческую компанию и требуется стабильность, новых задач не много, то проще сидеть на Bugfix only,
ну а в целом всем и большинству остальным пойдёт Current
(всё что я написал, лишь моё видение).
-
k0t
- Сообщения: 2
- Зарегистрирован: 08 фев 2017, 12:27
Vlad-2 писал(а):Ну пройдитесь же по Интернету, вот с официального форума Микротика,
http://forum.mikrotik.com/viewtopic.php?f=2&t=103792&p=582032&hilit=L2TP+NAT#p582032
Прочтите ответ ТехПоддержки (третье сообщение).
Спасибо, что направили меня в нужном направлении, но:
ответ ТехПоддержки из третьего сообщения устарел (Feb 04, 2016)
в седьмом сообщении ТехПоддержка говорит что такое теперь возможно, а как это сделать - мне не совсем понятно. Чуваку из восьмого сообщения того же форума тоже ничего не понятно.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
в любом случаи
1) ждать ROS v7
2) стандартно и без шаманства тут ни как не решить проблему
3) если было бы работающее решение, думаю уже было бы где-то описание
отсюда следует что надо менять задачу и условие и слегка его модифицировать.
У моего коллеги была похожая проблема, решили не идеально, но второго клиента
загнали (запустили) через другой протокол, через тот же РРТР, так что за НАТом,
при использовании разных типов подключения - можно работать....
1) ждать ROS v7
2) стандартно и без шаманства тут ни как не решить проблему
3) если было бы работающее решение, думаю уже было бы где-то описание
отсюда следует что надо менять задачу и условие и слегка его модифицировать.
У моего коллеги была похожая проблема, решили не идеально, но второго клиента
загнали (запустили) через другой протокол, через тот же РРТР, так что за НАТом,
при использовании разных типов подключения - можно работать....