Приветствую.
Арендовал виртуалку на одном из вражеских сервисов. Залил CHR, поднял l2tp/ipsec сервер.
Все замечательно работало, подключался со всех возможных платформ: Android, Macos/ios, windows, ну и клиенты все разношерстные: ноуты, планшеты, телефоны, стационарники, так же site-to-site.
С прошлой неделе малина кончилась, ни с одного устройства подключиться не могу. В логах: phase1 negotiation failed due to time up
Сносил полностью виртуалку, по новой заливал - не помогло!
Люди добрые, помогите кто чем может)
точно такая же конфигурация, до сих пор, работает дома
# jan/22/2024 12:30:38 by RouterOS 6.49.10
# software id =
#
#
#
/interface bridge
add name=bridge_lan
/interface ethernet
set [ find default-name=ether2 ] disable-running-check=no disabled=yes name=\
lan1
set [ find default-name=ether1 ] disable-running-check=no name=wan
/interface l2tp-server
add name=l2tp_in_gw_ru user=client_mt_ru
/interface list
add name=LAN
add name=WAN
/ip pool
add name=pool_dhcp_lan ranges=192.168.2.2-192.168.2.52
add name=pool_l2tp_ipsec ranges=10.0.2.2-10.0.2.102
/ip dhcp-server
add address-pool=pool_dhcp_lan bootp-support=dynamic disabled=no interface=\
bridge_lan lease-time=1d name=server_lan
/ppp profile
add change-tcp-mss=yes dns-server=1.1.1.1 local-address=10.0.2.1 name=\
l2tp_ipsec remote-address=pool_l2tp_ipsec
/interface bridge port
add bridge=bridge_lan interface=lan1
/ip firewall connection tracking
set tcp-established-timeout=2h
/ip neighbor discovery-settings
set discover-interface-list=none
/ip settings
set tcp-syncookies=yes
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_ipsec enabled=yes use-ipsec=\
required
/interface list member
add interface=wan list=WAN
add interface=bridge_lan list=LAN
/ip address
add address=192.168.2.1/24 interface=bridge_lan network=192.168.2.0
/ip dhcp-client
add disabled=no interface=wan use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=3h cache-size=4096KiB servers=\
1.1.1.1 use-doh-server=https://cloudflare-dns.com/dns-query
/ip dns static
add address=1.1.1.1 disabled=yes name=cloudflare-dns.com
add address=1.0.0.1 disabled=yes name=cloudflare-dns.com
/ip firewall filter
add action=accept chain=input comment="SOCKS5 TCP" dst-port=3327 protocol=tcp
add action=accept chain=input comment="Accept established & related" \
connection-state=established,related
add action=accept chain=input comment="Accept WinBox" dst-port=37373 \
protocol=tcp
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="Accept L2TP" dst-port=1701 protocol=\
udp
add action=accept chain=input comment="Accept IPSec" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="Accept IPSec" protocol=ipsec-esp
add action=accept chain=input comment="Accept management" dst-port=22,8291 \
protocol=tcp
add action=drop chain=input comment="Drop all from no LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=IPSec ipsec-policy=in,ipsec
add action=accept chain=forward comment=IPSec ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="Fast Track" \
connection-state=established,related in-interface=bridge_lan \
out-interface=wan
add action=fasttrack-connection chain=forward comment="Fast Track" \
connection-state=established,related in-interface=wan out-interface=\
bridge_lan
add action=accept chain=forward comment="Accept established & related&" \
connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan
/ip route
add comment=Blackhole distance=254 dst-address=10.0.0.0/8 type=blackhole
add comment=Blackhole distance=254 dst-address=172.16.0.0/12 type=blackhole
add comment=Blackhole distance=254 dst-address=192.168.0.0/16 type=blackhole
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=37373
set api-ssl disabled=yes
/ip socks
set auth-method=password enabled=yes port=3327 version=5
/ppp secret
add name=client_ab_mb_w profile=l2tp_ipsec
add name=client_mt_ru profile=l2tp_ipsec remote-address=10.0.2.2
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system identity
set name=GW_US
/system ntp client
set enabled=yes primary-ntp=195.161.115.4 secondary-ntp=85.21.78.91
/system ntp server
set enabled=yes manycast=no multicast=yes
/system package update
set channel=long-term
L2TP/IPSec
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Вероятно остались зависшие сессии IPSEC.
Посмотрите в винбоксе. Зависшие динамические записи удалите.
Посмотрите в винбоксе. Зависшие динамические записи удалите.
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Wireguard клиент есть уже практически для всего
https://www.wireguard.com/install/
CHR обновите до 7 версии, и сделайте сервер на WG. У него лучше производительность. И меньше глюков.
https://www.wireguard.com/install/
CHR обновите до 7 версии, и сделайте сервер на WG. У него лучше производительность. И меньше глюков.
-
ed11weiss
- Сообщения: 5
- Зарегистрирован: 03 дек 2022, 13:03
-
ed11weiss
- Сообщения: 5
- Зарегистрирован: 03 дек 2022, 13:03
Не готов я к 7кеErik_U писал(а): ↑22 янв 2024, 13:05 Wireguard клиент есть уже практически для всего
https://www.wireguard.com/install/
CHR обновите до 7 версии, и сделайте сервер на WG. У него лучше производительность. И меньше глюков.
-
Kostetyo
- Сообщения: 205
- Зарегистрирован: 21 окт 2013, 21:52
Я предполагаю что вы столкнулись с очередной волной блокировок.
Наши провайдеры периодически тестируют железный купол и у меня не однократно возникали подобные проблемы, поэтому поднят ROS7 и на нем развернуты все впн: pptp, l2tp+ipsec, ovpn, WG, sstp+sert.
B и просто если все блочат перехожу на другой протокол.
Еще ни разу не было проблем с sstp.
Наши провайдеры периодически тестируют железный купол и у меня не однократно возникали подобные проблемы, поэтому поднят ROS7 и на нем развернуты все впн: pptp, l2tp+ipsec, ovpn, WG, sstp+sert.
B и просто если все блочат перехожу на другой протокол.
Еще ни разу не было проблем с sstp.
-
ed11weiss
- Сообщения: 5
- Зарегистрирован: 03 дек 2022, 13:03
Не могу с Вами не согласится. Но парадокс в следующем: я по новой поднял сервер, и подключится я к нем могу только из дома W/LAN (Ростелеком), а c мобильников никак(Kostetyo писал(а): ↑23 янв 2024, 13:25 Я предполагаю что вы столкнулись с очередной волной блокировок.
Наши провайдеры периодически тестируют железный купол и у меня не однократно возникали подобные проблемы, поэтому поднят ROS7 и на нем развернуты все впн: pptp, l2tp+ipsec, ovpn, WG, sstp+sert.
B и просто если все блочат перехожу на другой протокол.
Еще ни разу не было проблем с sstp.