Mikrotik L2TP/Ipsec

 ( hnsz2002 | 2012. március 13., kedd - 19:47 )

Hello,

valaki tudna nekem mutatni vagy linkelni egy működő L2TP/IPsec beállítást mikrotikre? Próbáltam már sok verziót, illetve kútfőből is javítgattam, de nem működött egyik sem...

A kliensek többnyire w7 és ipad, dinamikus külső cím és NAT mögött vannak, v4 only hálózat. (A mikrotiknek fix külső címe van)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

No, akkor másképp kérdezem: mondjatok biztonságos, és széles körben támogatott VPN-t. Mert mindegyikkel van valami nyűg.

PPTP: széles körben támogatott, majdnem minden tudja, viszont ismert gyengesége miatt törhető, + a mai nap tapasztalata alapján ipad (ios?) nem tud hozzá kapcsolódni (túlzottan nem debuggoltam, viszont minden más próbált eszköz kapcsolódott hozzá).

L2TP: mint PPTP, vagy még rosszabb.

L2TP/IPSec: nem tudok összerakni mikrotiken egy önállóan működő konfigot, mert a generaty-policy=yes opció csak a policy egyik oldalát kreálja meg, a másikat nem. Ezen VPN az ipsec-et transport módban használja, így pedig kötelező az ipsec policynál /32-es maszknak lenni. Ezáltal pedig ki van lőve a 0.0.0.0 megoldás... Hát átrakom tunnel módba, akkor pedig azért nem épül ki az ipsec, mert mismatched: my:Tunnel peer:Transport. (Ha kézzel hozzáadom a kliens aktuális külső ipjét, akkor rendesen működik w7 alól.) Androidról valami rejtélyes módon felépül az ipsec, l2tp is, chap success, authenticated, aztán encryption egyeztetésbe kezdenek, aminek a vége: terminating... - Encryption negotiation rejected. Nem tudná az android az mppe128-at?

SSTP: mikrotik tudja, win7 tudja; android, ios, linux (alapból) nem. Egyébként nem próbáltam.

OpenVPN: Semmi nem tudja alapból, külön kliens kell hozzá + tunnelezik, nem pedig "beviszi" a gépet a belső hálóra.

IPSec IKEv2: biztonságos, és remekül működik, több helyen használom linuxon strongswan szerver+w7-tel, kifogástalan. Viszont mikrotik szintén nem támogatja, ios, android sem tudja...

Any suggestion? :)
--
Discover It - Have a lot of fun!

L2TP/IPSEC: a wiki leírást követve nálam megy mind tunnel mind transport módban. (ezt mikrotik vs mikrotik konfigban használom)
OpenVPN: szintén frankón működik, ezt Mikrotik vs Windows konfigban használom.

Pontosan melyik leírást?
Továbbá, dinamikus vagy fix ip van?
--
Discover It - Have a lot of fun!

asszem ez volt az.
fix ipcím.
OpenVPN megy dyn-el is.

Persze, fix ipvel könnyű...
"A kliensek többnyire w7 és ipad, dinamikus külső cím és NAT mögött vannak"
Valamint pl. ipad és android miatt roamingolnak is, így fix külső címmel se mennék sokra.

Update:
Nos, a helyzet: kipróbáltam 5-ös mikrotiken, és ott a generate-policy tökéletesen működik... Ezek szerint a 4-es mikrotikbe ez bugos (bár tény, hogy nem a legfrissebb van fent abból sem). Most tesztelem, de szerintem rendben lesz, és így a 4-est frissíteni fogom.

--
Discover It - Have a lot of fun!

Szia!

És egy működő konfigot be tudnál másolni?
Én is körbe jártam már minden oldalról, minden doksit elolvastam, de l2tp még eddig nem működött nekem.
Openvpn-t, ipsec vpn-t használok tucatszámra, router-router és router-linux, router-win között hiba nélkül, csak ez nem akar összejönni.
Próbáltam csak 1-et beállítani, az is lehet win oldalon nem jó valami, azzal kapcsolatban is olvastam sokat, hogy módosítani kell a win7-nél a firewall alatt az ipsec beállításokat, megtettem, de nem ez volt a baja (ez csak a tikosításra vonatkozó beállítások, hogy ne 3des hanem mondjuk aes256 legyen amit használ a win)
(az ipsec működik, de utána az l2tp nem áll össze és a log-ban semmi hibaüzenet egyik oldalon sem, csak a buta win azt mondja, "809 .. bizonyára tűzfal gátolja a kapcsolódást.." nem túl beszédes hibaüzenet.)

visszaszívtam.. :( a csodás win7 a gagyi... egy XP-vel és Androiddal simán megy (de jó, hogy 2 hete szívok ezzel)
Mi lehet a baja ennek a nyűves vindóznak?

megint mod: win7 is működik

iOS-en nincs OpenVPN kliens (legalábbis a gyáriban, Jailbreakelten van).

Igen, meg is magyarázták a leírásban, hogy olyan dolgokra van szükség (pl routing tábla módosítás) ami a normál jogkörrel nem megoldható.
Ha esetleg lenne az Appstore-ban egy "tap only" verzió...

Kis update: Már van OpenVPN kliens.

És katasztrófa. Borzalmas, hogy hogyan lett implementálva. Nagyon sok a szívás vele.

Ezzel az L2tp/ipsec-kel én is szenvedek.
A beállítások megvannak. Megy a vpn kívülről, belülről. Viszont nem megy 3G-ről. A telefont is beállítottam, wifi-ről megy a kapcsolat. Átváltok 3G-re és nem sikerül.
A firewall-ban idáig jut:
firewall,info input: in:ether1-gateway out:(none), src-mac 00:xx:xx:xx:xx:xx, proto UDP, xxx.xxx.xxx.xxx:500->xxx.xxx.xxx.xxx:500, len 380

Próbáltam a nat traversal-lal operálni, de nem hozott semmi változást.
Merre induljak el?

A router egy RB2011UAS-2HnD 5.25 OS-sel.

Eltűnt a kérdésem a kommentek között?
Nem akartam új szálat nyitni...

Ugyan a PPTP-re azt mondtad nem megfelelő, de arra tudok megoldást küldeni, RouterOS 5.8-om van PPTP szerverként, pont az iPad-es dolgozók miatt.

PPTP működik nekem is, csak nem tetszik.

Meg azóta már megoldottam az L2TP-t is.
--
Discover It - Have a lot of fun!

Itt működik(win7 kliens, ros 5.16 szerver, vas rb751g) egy kivételével. BCP -vel sikerült (vagy egyéb módon) broadcast forgalmat átlőni oda-vissza irányba? (Igen, nincs wins dedikált szerver, és nem is akarok.)

5letek, valaki?

Hát annak át kéne menni simán, minden varázslás nélkül.
A bridge proxy-arp módban legyen.
--
Discover It - Have a lot of fun!

ICMP megy is, csak a wins broadcast feloldás nem, proxy-arp -ban van a local bridge.
Megoldásnak ajánlják egy metarouter felhuzását sambával, de ez kissé khmm... legalább egy caching wins lehetne ros-ban :(