Mikrotik L2TP vpn server with Ipsec

**jkarabas** · 16-07-21, 12:11

Αρχικό μήνυμα από deniSun

Στο ΜΤ έχω εναλλακτικά με τον ovpn και L2TP/IPsec server.
Το ovpn παίζει παντού και πάντα.
Με το L2TP/IPsec έχω πολύ συχνά προβλήματα.
Μετά από κάποιο διάστημα δεν με αφήνει να μπω.
Δεν μπλοκάρει την ΙΡ το fw γιατί μπαίνω κανονικά με openvpn και η ΙΡ φυσικά δεν μπαίνει σε block.

Στα logs βλέπω κανονικά:
ISAKMP-SA established
respond new phase 1 (Identity Protection)
και μετά (το πρόβλημα):
the packet is retransmitted by <ΙΡ_της_συσκευής_που_πάει_να_συνδεθεί>

Δεν είναι θέμα συσκευής γιατί αν μπω με άλλη ΙΡ από την ίδια συσκευή, μπαίνει κανονικά.
Επίσης παρατήρησα ότι κρατάει στο ipsec > active peers
εγγραφές με την ΙΡ που πάω να συνδεθώ.
Και τις έχει με:
state: established
side: responder
uptime: μετράει ο χρόνος

Αν κάνω kill τις παραπάνω συνδέσεις από τον συγκεκριμένο πίνακα,
τότε μπαίνει ξανά κανονικά.

ΥΓ
Φυσικά και όταν πάω να συνδεθώ και δεν μπορώ με την παραπάνω κατάσταση,
δεν φτάνει καν στο σημείο να μου ζητήσει usr/psw.

Καλημέρα
Δεν το χρησιμοποιώ συχνά αλλά το έχω enable
Δοκίμασα σήμερα μετά το ποστ σου από το κινητό και δεν παρατήρησα πρόβλημα.
Αν αποσυνδεθώ από το κινητό κάνει περίπου 1.5 λεπτό να καθαρίσει το coonection από το mikrotik.
Εκεί παρατήρησα καθυστέρηση.
Θα το δουλέψω αυτές τις μέρες και θα σου πω.

**deniSun** · 16-07-21, 18:14

Το πρόβλημα το εντόπισα όταν δεν κάνω disconnect.
πχ restart

**BillyVan** · 16-09-21, 11:59

Γνωρίζει κάποιος αν μπορουμε να σηκώσουμε τον L2tp server σε άλλη πορτα?

Σε μια εγκατάσταση είναι απαραίτητο να παω σε άλλες πορτες απ τις κλασικες 1701,500,4500.

Οσο κι αν εψαξα δεν βρηκα πως το κανεις.

Ευχαριστω

**deniSun** · 16-09-21, 13:33

Αρχικό μήνυμα από BillyVan

Γνωρίζει κάποιος αν μπορουμε να σηκώσουμε τον L2tp server σε άλλη πορτα?

Σε μια εγκατάσταση είναι απαραίτητο να παω σε άλλες πορτες απ τις κλασικες 1701,500,4500.

Οσο κι αν εψαξα δεν βρηκα πως το κανεις.

Ευχαριστω

Όχι δεν γίνεται.
Απ όσο ξέρω παίζει μόνο στις συγκεκριμένες πόρτες.
Αν το θέλεις για λόγους προστασίας τότε ρύθμισε το fw.

**BillyVan** · 16-09-21, 13:37

Σε ευχαριστω, κριμα...

Θα κοιταξω να βαλω αλλη συσκευη που να μπορει να σηκωσει σερβερ σε αλλες πορτες.

**romankonis** · 16-09-21, 16:24

Αρχικό μήνυμα από BillyVan

Σε ευχαριστω, κριμα...

Θα κοιταξω να βαλω αλλη συσκευη που να μπορει να σηκωσει σερβερ σε αλλες πορτες.

pfsense

**totomis** · 19-04-22, 19:06

καλησπέρα στην ομάδα.
καινούριος στον κόσμο του mikrotik και προσπαθώ να το σετάρω ώστε να αναλάβει το routing πίσω από το ont/router της inalan που έχω σπίτι.
το κομμάτι του router το έχω σετάρει, και προσπαθώ να φτιάξω το vpn ώστε να αποφύγω το ddns και το port forward.
έχω ακολουθήσει διάφορους οδηγούς για τη δημιουργία του l2tp/ipsec server, χωρίς να το καταφέρω να δουλέψει...

η διεύθυνση cloud που δίνει το mikrotik δουλεύει σωστά, αφού κάνοντάς την ping από εξωτερικό δίκτυο, απαντάει με την τρέχουσα ip που έχω στο δίκτυο της inalan.
επίσης ο l2tp server φαίνεται να δουλεύει, αφού μπορώ να συνδεθώ από τον vpn client των windows, χτυπώντας κατευθείαν την wan ip του mikrotik (σε εσωτερικό δίκτυο, διαφορετικό subnet)
όμως δεν μπορώ να συνδεθώ από εξωτερικό δίκτυο, ούτε με διεύθυνση την cloud που δίνει το mikrotik, ούτε με την ip που μου δίνει η inalan.

έχω κάνει port forward τις πόρτες 500,1701 και 4500 προς το mikrotik, έχω δοκιμάσει και με dmz προς την wan ip του mikrotik
έχω ανοίξει τις πόρτες στο firewall του mikrotik, στο εσωτερικό δίκτυο του mikrotik έχω arp-proxy, στο arp

καμιά ιδέα τι μπορεί να φταίει;

σημ: έχω δοκιμάσει και σε vdsl cosmote (το mikrotik πίσω από το router/modem της cosmote), χωρίς αποτέλεσμα...

**dalex** · 19-04-22, 19:31

Αρχικό μήνυμα από totomis

καλησπέρα στην ομάδα.
καινούριος στον κόσμο του mikrotik και προσπαθώ να το σετάρω ώστε να αναλάβει το routing πίσω από το ont/router της inalan που έχω σπίτι.
το κομμάτι του router το έχω σετάρει, και προσπαθώ να φτιάξω το vpn ώστε να αποφύγω το ddns και το port forward.
έχω ακολουθήσει διάφορους οδηγούς για τη δημιουργία του l2tp/ipsec server, χωρίς να το καταφέρω να δουλέψει...

η διεύθυνση cloud που δίνει το mikrotik δουλεύει σωστά, αφού κάνοντάς την ping από εξωτερικό δίκτυο, απαντάει με την τρέχουσα ip που έχω στο δίκτυο της inalan.
επίσης ο l2tp server φαίνεται να δουλεύει, αφού μπορώ να συνδεθώ από τον vpn client των windows, χτυπώντας κατευθείαν την wan ip του mikrotik (σε εσωτερικό δίκτυο, διαφορετικό subnet)
όμως δεν μπορώ να συνδεθώ από εξωτερικό δίκτυο, ούτε με διεύθυνση την cloud που δίνει το mikrotik, ούτε με την ip που μου δίνει η inalan.

έχω κάνει port forward τις πόρτες 500,1701 και 4500 προς το mikrotik, έχω δοκιμάσει και με dmz προς την wan ip του mikrotik
έχω ανοίξει τις πόρτες στο firewall του mikrotik, στο εσωτερικό δίκτυο του mikrotik έχω arp-proxy, στο arp

καμιά ιδέα τι μπορεί να φταίει;

σημ: έχω δοκιμάσει και σε vdsl cosmote (το mikrotik πίσω από το router/modem της cosmote), χωρίς αποτέλεσμα...

udp/500 + udp/1701 + ipsec-esp (50).

Με DMZ ειναι οτι καλυτερο (αν δεν μπορεις bridge).

- - - Updated - - -

Αρχικό μήνυμα από BillyVan

Γνωρίζει κάποιος αν μπορουμε να σηκώσουμε τον L2tp server σε άλλη πορτα?

Σε μια εγκατάσταση είναι απαραίτητο να παω σε άλλες πορτες απ τις κλασικες 1701,500,4500.

Οσο κι αν εψαξα δεν βρηκα πως το κανεις.

Ευχαριστω

Με dst nat ? MT πριν το MT (double netmap) ?

**totomis** · 19-04-22, 19:31

αυτές τις πόρτες τις έχω ανοίξει στο firewall του mikrotik, αλλά και τις προωθώ προς τη wan του mikrotik, αλλά δεν...

**dalex** · 19-04-22, 19:34

Τι εννοεις προωθεις; Απλως accept στην input chain θελει.

**totomis** · 19-04-22, 19:37

Αρχικό μήνυμα από dalex

Τι εννοεις προωθεις; Απλως accept στην input chain θελει.

τις προωθώ από το router της inalan προς το mikrotik (αφού δεν έχω τη δυνατότητα για bridge mode)

**macro** · 19-04-22, 19:41

DMZ μπορεις να κανεις στο ONT?

**totomis** · 19-04-22, 19:55

μπορώ, απλώς προς το παρόν (μέχρι να το σετάρω), δε θέλω να αφήσω το σπίτι χωρίς δίκτυο όσο κάνω πειράματα, γιατί δουλεύουν με τηλεεργασία (έχω ένα xiaomi 4a σαν router, πίσω από το ont και δίνω σε αυτό dmz).
πάντως το έβαλα για λίγο με dmz και πάλι δε δούλευε...

edit: επίσης βλέπω πως γίνονται κλίσεις από την εξωτερική ip προς το mikrotik...
δηλαδή στο mikrotik φτάνει το αίτημα του vpn client αλλά δεν επιστρέφει στον client η απάντηση;

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: Στιγμιότυπο οθόνης 2022-04-19 202029.jpg
Εμφανίσεις: 5
Μέγεθος: 150,6 KB
ID: 237162

**deniSun** · 19-04-22, 22:34

Για να έχεις πρόσβαση με vpn σε ΜΤ πίσω από άλλο ρούτερ χρειάζεται:
1. στατική ΙΡ στο ΜΤ από το sub του ρούτερ στην ether1 (αυτή που συνδέεται στο ρούτερ)
2. να ανοίξεις πόρτες για το vpn στο ρούτερ
3. bridge όλες τις πόρτες του ΜΤ
4. ΝΑΤ την ether1:

Κώδικας:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1

5. Στις δηλώσεις του dhcp του vpn πρέπει να του δώσεις ΙΡ από το sub του ρούτερ.

Υπάρχουν πολλές υλοποιήσεις.
πχ να παίζει στο ΜΤ και δεύτερος dhcp εκτός του ρούτερ.
Τότε όμως θα μπλέξεις περισσότερο με το ΝΑΤ και τις δρομολογήσεις.

**macro** · 20-04-22, 10:05

Εγω δε μπορω να καταλαβω τι σχεση εχει το PF και το συνδεεις με το vpn. Αυτο ειτε με διπλο PF ειτε με DMZ αντιμετωπιζεται.

Θέμα: Mikrotik L2TP vpn server with Ipsec

Παρόμοια Θέματα

Mikrotik VPN Client Help

Αδυναμία απομακρυσμένης σύνδεσης σε MikroTik L2TP/IPSec server

Setup VPN server & client AWMN only help

openVPN Mikrotik (client) + OpenWRT (server)

Mikrotik VPN Server

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές