нужна помощь с VPN L2TP+IPSEC

[Sertik]

Желаю здравствовать всем участникам форума !
Отдельные приветствия мои знатокам и друзьям !

Нужна Ваша помощь. Не хочет подключаться L2TP+IPSEC VPN-клиент Микротик 6.46.3 через "мобильный" lte-канал (Мегафон) к Микротику-серверу L2TP+IPSEC с белым статическим IP (проводной WAN) от Билайна (простите, что так занудно описал).
При этом другой аналогичный роутер-клиент, работающий через Сим-карту Билайн с точно такими же настройками (проверял сто раз) подключается на ура, без проблем.
Никаких ошибок (красным цветом) в логах нету - и сервер и клиент пишут "old tunnel not closed yet ..." и подключения не происходит, все отваливается и попытки подключения начинаются заново. В IPsec ключи создаются. Порты разумеется на сервере нужные для L2TP и IPSEC открыты (я уже писал, что другой роутер с аналогичными настройками подключается без проблем).

Проблема в провайдере роутера клиента ? Режет 500 порт ? или в чём ? Может такая штука быть из-за низкого уровня сигнала неподключающегося Микротика-клиента ("слабого" его LTE-канала - типа скорости не хватает чтобы установить соединение L2TP+IPSEC "зацепиться") ?

Прилагаю картинки логов с неподключающегося клиента и сервера (не пинайте, адреса убрал, разумеется ...):

[Sertik]

Пока отвечаю сам себе ибо никто не откликнулся, печалька Включал логирование, в том числе ipsec. Вроде все гуд ... ошибок нет. Но подключения нет. В лог вываливается куча инфы, может чего не вижу.
Пытался общаться с Мегафон. Сразу пишу им что я сисадмин, иначе девочки бестолковые пристают с дурацкими вопросами ... Тишина пока. В инете нарыл инфу неоднократную что Мегафон режет l2tp+ipsec т.к. автор считает, что они так "предотвращают обходы блокировок" (вероятно имеется ввиду разных сайтов запрещенных РКН и мессенджеров) ... Попробую с другой сим-картой Мегафон. Если такая же байда будет - ясно виноват Мегафон. Если нет - значит тариф конкретный или опции. Но с этой же точки рядом стоящий тик через Билайн работает без всяких проблем с точно такими же настройками ...

[easyman]

Настраивайте по отдельности - сначала поднимайте ipsec, потом разбирайтесь с l2tp. Ipsec у вас поднимается.

[Vlad-2]

Пока отвечаю сам себе ибо никто не откликнулся, печалька

1) а чего просто писать если мало (у меня) в этом опыта. С LTE почти не работаю,
а с каналами работаю между узлами и объектами, там всегда есть почти
проводное подключение, и почти также всегда реальный IP

2) то что провайдеры (сотовые) давно режут рртр и GRE и L2TP - давно многим известно,
более скажу, что на тарифе для физика это скажем режется точно (или на 90%)(у некоторых операторов!!),
на тарифе от конторы, чаще это позволено, а если ещё и реальный айпи купить, точно должно быть разрешено.
Это я к тому, что сотовые операторы - это ещё одна стена, которую в каждом конкретном
случаи надо изучить и пройти.

3) Ради фана(fun) подними рртр сессию, потом уже поиграйся с л2тп и уже потом с ipsec.
Или сделать извращение: тупо рртр, а внутри уже ipsec

[Sertik]

для VLAD-2

Приветствую, учителя ! Как там на Камчатке у Вас ?

По Вашему комментарию:

На роутере l2tp-клиенте+ipsec (который является предметом дискуссии и не хочет подниматься) у меня lte-канал через СИМ-карту Мегафон с федеральным специальным тарифом и белым статическим IP. Этот канал спокойно работает как pptp-клиент, как pptp-сервер, как ovpn-клиент и как ovpn-сервер.
Но вот потребовалось настроить его как l2tp-клиент+ipsec и ни в какую. Так, что что-то режется именно либо на портах l2tp либо портах или трафике ipsec. Ну или gre трафик. Как предположил easyman может проблема именно в l2tp а не в ipsec (т.е. ни то ни другое на этом роутере и сим-карте до настоящего времени опробовано не было за отсутствием необходимости до настоящего времени) Попробую поковыряться ...
Есть "простой" метод (но туда придется поехать физически) вставлю СИМ-карту другого оператора (проверенного Билайн, вытащу из другого роутера, от него как я писал всё работает отлично) и если заработает - значит "Мегафоны" виноваты. Дальше будем бодаться с ними, т.к. тариф то специальный без ограничений типа да ещё с фиксированным белым IP и за немалые деньги - пускай объясняют причину избирательных блокировок трафика ...
Недавно кстати бодался с ними по другому близкому вопросу три аж дня ! ... Но доказал таки что они верблюды - что Вы думаете - исправили свою ошибку и компенсировали деньгами неустойку ! Так то вот. Но нервов стоило конечно не мало. Особенно доканывает то, что всегда общение с ними начинается через службу поддержки и каждый "сеанс" с "нуля" - то есть сначала тупой робот, потом бестолковые девочки-операторы, потом кто-то из операторов чуть по умнее, потом они отправляют запрос спецам в IT-отделе и только через 1-7 суток ! (по их условиям) вопрос решается или отклоняется ! Вообще, конечно, по сути произвол полный. Делают всё что хотят пользуясь монопольной властью. К чему это приводит (в виде полной компьютеризации всех услуг в том числе так называемых госуслуг, мы сейчас все на своей шкуре чувствуем (намек мой я думаю всем понятен) ...


А вот то что Вы написали

Или сделать извращение: тупо рртр, а внутри уже ipsec

это как ? Никогда не делал такого ... Как можно запустить шифрование ipsec в тоннеле pptp ? Такое возможно ? Там же ведь только шифрование по умолчанию может использоваться а это только один тип если я правильно понимаю mmpe128 или как то так оно называется (поправьте, могу ошибаться в названии типа шифрования). Или я не прав ? Тогда подскажите как сделать или ткните в инструкцию как настроить pptp+ipsec если такое действительно возможно ...

[Vlad-2]

это как ? Никогда не делал такого ... Как можно запустить шифрование ipsec в тоннеле pptp ? Такое возможно ? Там же ведь только шифрование по умолчанию может использоваться а это только один тип если я

Я дал намёк, я имел ввиду сделать один уровень абстракции и поверх него сделать второй.
Какой то тренер года два на МУМе показывал свой проект, он на рртр делал связи и поверх них уже
всё остальное.

Поэтому я дал направление, скрыть от провайдера чистый ГРЕ/ipsec, и работать внутри сотового провайдера
скажем рртр только, или чистый л2тп без шифрование, а уже внутри канала заюзать уже другое...
ЕЩЁ раз...лишь направление и идея, не указание к действию.

[Sertik]

Для меня это крутовато. Вы же помните, что я не IT-инженер ... Идею я естественно Вашу понял, но как на адресах pptp-тоннеля организовать шифрование ipsec на практике я не знаю и делать это буду как говорил Кролик "неделю не меньше" ... постоянно наступая на грабли сложностей "ручной" настройки самого ipsec на Микротиках благо там параметров всяких немеренно ... Готовая инструкция есть ?

[Sertik]

В результате поступил проще, поскольку у второго роутера прямой белый IP, я "перевернул" задачу - сделал его сервером, а первый роутер клиентом и настроил другой тип VPN. C l2tp под Мегафоном не получилось, на объекте попробую другие СИМ и тарифы.
Всем здоровья !