Αδυναμία απομακρυσμένης σύνδεσης σε MikroTik L2TP/IPSec server

[Cuore Sportivo]

Καλησπέρα.

Σήμερα ξόδεψα περίπου τέσσερις ώρες, ακολουθώντας κυριολεκτικά όποιον οδηγό βρήκα στο Internet προκειμένου να στήσω έναν VPN (L2TP over IPSec) server στο MT (RB951G-2HND με περασμένο το τελευταίο 6.36 ROS). Το αποτέλεσμα είναι να μην καταφέρνω να συνδεθώ ούτε από το laptop (Windows 10) ούτε από το κινητό (Android 5.1.1).

Έχει στήσει κάποιος επιτυχώς VPN server με L2TP over IPSec;
Αν ναί, θα μπορούσε να με ενημερώσει για τις ρυθμίσεις που έχει χρησιμοποιήσει;

[Cuore Sportivo]

Μετά από reset to defaults και κάνοντας ακριβώς τις ίδιες ρυθμίσεις, τελικά δούλεψε.

Ωστόσο για κάποιο λόγο, δεν μπορώ να συνδεθώ από συσκευές με Windows (και 7 και 10), ενώ από το Android κινητό συνδέομαι κανονικά.
Γνωρίζει κάποιος τί μπορεί να συμβαίνει;

[kostas2911]

Χρησιμοποιείς κάποιο πρόγραμμα ή το default των windows;
Έχω την αίσθηση ότι το default των windows παίζει μονο με pptp

[deniSun]

Μετά από reset to defaults και κάνοντας ακριβώς τις ίδιες ρυθμίσεις, τελικά δούλεψε.

Ωστόσο για κάποιο λόγο, δεν μπορώ να συνδεθώ από συσκευές με Windows (και 7 και 10), ενώ από το Android κινητό συνδέομαι κανονικά.
Γνωρίζει κάποιος τί μπορεί να συμβαίνει;

Έχω αναφέρει ότι κατά τις αναβαθμίσεις από μια έκδοση σε άλλη, αλλάζουν οι default ρυθμίσεις.
Καλό είναι να κρατάμε τα αρχεία με export και να συγκρίνουμε με τα προηγούμενα όταν αναβαθμίζουμε το ROS.

[Cuore Sportivo]

Χρησιμοποιείς κάποιο πρόγραμμα ή το default των windows;
Έχω την αίσθηση ότι το default των windows παίζει μονο με pptp

Δοκίμασα και με τα default των Windows και με ένα άλλο προγραμματάκι, αλλά δεν λέει να συνδεθεί.
Με το built-in των Windows πάντως συνδέομαι κανονικά σε άλλα routers με L2TP/IPsec VPNs.

[Cuore Sportivo]

Τελικά πρόβλημα τελικά ήταν η κρυπτογράφηση. Αν δεν επιλεχθεί και 3DES (εγώ είχα τικάρει μόνο AES), ο built-in client των Windows δεν μπορεί να συνδεθεί.

[Cuore Sportivo]

Καλησπέρα σε όλους!
Επαναφέρω το θέμα (για να μην κάνω hijack και σε άλλα threads) μιας και έχω θέμα. Τόσο καιρό, έχοντας για encryption 3des και για hash sha1, συνδεόμουν κανονικά στο VPN μου (L2TP/IPSec). Επειδή όμως απ'ότι γνωρίζω ο συγκεκριμένος συνδυασμός κάθε άλλο παρά προτεινόμενος είναι, αποφάσισα να το αλλάξω σε aes-128 και sha256. Δυστυχώς με τον τελευταίο συνδυασμό για πιο δυνατό encyrption και άρα πιο ασφαλές περιβάλλον, δεν μπορώ να συνδεθώ ούτε από laptop με Win10, ούτε από κινητό Android ούτε από κινητό με iOS. Συσκευές από τις οποίες μέχρι πρότινος συνδεόμουν κανονικά...

Γιατί μπορεί να συμβαίνει το παραπάνω; Υπάρχει κάποιος τρόπος να αντιμετωπιστεί το εν λόγω πρόβλημα;

[akis1009]

Αν δεν βάλεις το vpn log (από debug) δεν νομίζω να μπορέσει να σου απαντήσει κάποιος

[Nikiforos]

καλησπέρα, αν θες δες εδω αν σε βοηθησει σε κατι https://www.adslgr.com/forum/threads...ver-with-Ipsec
οπως εγραψα και εκει, ενω φιλος με mac μηχανηματα αλλα και κινητα μπαινει κανονικα, εγω δεν εχω καταφερει να μπω, ουτε απο windows xp, ουτε απο android...
επειδη δουλευω και με openvpn αλλα και με pptp vpn δεν σκοτιζομαι και πολυ, αλλα θα μου αρεσε αν εβρισκα τι φταιει καποια στιγμη.
Εχω φαει και εγω πολυ χρονο και δεν βρηκα λυση. Και δεν θελω να χαλάω και τον φιλο απο τις δοκιμες μου.

[Cuore Sportivo]

Άκη ορίστε και τα logs!


Νικηφόρε ευχαριστώ.
Με λίγες παραπάνω δοκιμές, αν αλλάξω το encryption σε AES128, αλλά αλλάξω το Hash σε SHA1, τότε θα συνδέομαι. Το θέμα παραμένει όμως, για το SHA1 δεν θεωρείται ασφαλές...

[akis1009]

Συνήθως αυτό το μήνυμα το βγάζει όταν έχει διαφορές μεταξύ ip sec peer και ip sec proposal , το έχεις αλλάξει και στα 2 σε sha256 ?

[Cuore Sportivo]

Ναι και στα δύο οι ρυθμίσεις είναι ακριβώς ίδιες. SHA256 με AES128 και τίποτα από τα υπόλοιπα επιλεγμένα. Όπως δηλαδή φαίνεται στις παραπάνω εικόνες, απλά αντί για SHA1 έχω SHA256. Δοκίμασα και SHA512, έκανα κι ένα reboot, αλλά καμία διαφορά.

- - - Updated - - -

Παρατήρησα ότι στο IPSec και συγκεκριμένα στο Peers tab, υπάρχει ένα entry με address ::/0, το οποίο δεν μπορώ να κάνω disable ούτε να αλλάξω τα values του, ωστόσο στο encryption έχει SHA1/3DES, χωρίς όμως να μπορώ να τα τροποποιήσω.
Το θέμα είναι ότι δεν θυμάμαι να το έχω δημιουργήσει εγώ. Διαγράφοντάς το πάντως δεν αλλάζει τίποτα ουσιαστικό, καθώς πάλι δεν μπορώ να συνδεθώ με SHA256/AES128.

Γνωρίζει κανείς τι μπορεί να κάνει το συγκεκριμένο entry και αν χρειάζεται κάπου;

[Ashtaroth]

δεν ξέρω για ποιο λόγο είναι εκεί αλλά αυτή είναι IPv6 διεύθυνση (default route)

[Nikiforos]

καλημερα! και εγω αποφασισα επειδη χρησιμοποιω πολλων ειδων VPN's στο 109 και στα 2 Χ 951 που εχω σε αλλο σπιτι, να τα συμμαζεψω λιγο και το κυριοτερο να σταματησω εντελώς την χρηση του PPTP VPN που εκτος απο απαρχαιωμενο ειναι και το ποιο ανασφαλες vpn που υπαρχει.
Ετσι καταφερα να τα αντικαταστησω με openvpn με επιτυχια, αλλα ενας φιλος που του δινω, θελει το l2tp + ipsec. Ενω αυτος συνδεεται απο mac os υπολογιστες και iphones, και απο win 7 οπως μου ειπε, εγω δεν μπορω ουτε απο android K.K, αλλα ουτε και απο win xp (at work).

Μιας και στο 109 λοιπον εχω τετοιον vpn server θα ηθελα να δουλευει και για εμενα.
Θεωρω οτι κατι κανω λαθος στις ρυθμισεις σχετικα με τις κρυπτογραφησεις.
Παρολαυτα οταν κανω κινηση απλα δεν συνδεεται, αλλα στο RB δεν δειχνει απολυτως τιποτα στα logs λες και η κινηση αυτη δεν φτανει ποτε!

Τις επομενες μερες απο εβδομαδας, για να το κανω ποιο ασφαλες θα κανω κατι αλλαγες, σε username, pass, subnet που δινει και καποια fw rules.
Θα δω μετα με τον φιλο αν ειναι οκ. Να δω και απο εμενα.
Με ενδιαφερει κυριως η χρηση απο win xp (at work) και οχι απο android ή αλλο mikrotik μιας και εχω αντικαταστησει ηδη τα pptp vpns που ειχα, με openvpn.

Δειτε και αυτο το πολυ ωραιο αρθρο συγκριτικο vpns : https://www.howtogeek.com/211329/whi...psec-vs.-sstp/

και το αρχικο θεμα που ειχα κανει και εχει και τον οδηγο που ειχα ακολουθησει : https://www.adslgr.com/forum/threads...ver-with-Ipsec

[Nikiforos]

καλημερα, δοκιμασα για την ιστορια σε mikrotik client l2tp και συνδεεται κανονικα, εντωμεταξυ δεν εχω βαλει και ipsec που σημαινει οτι ειναι σουρωτηρι, πρεπει να αλλαξω ρυθμισεις πολυ συντομα...