Mikrotik L2TP vpn server with Ipsec

[BillyVan]

Καλησπερα.

Εφαγα 2 μερες για να καταλαβω οτι l2tp / ipsec πισω απο Nat δεν παιζει σωστα.

Εξηγω.

Εχω 2 Μικροτικ στο πρωτο ειναι η public ip και κανω pf τις γνωστες udp 1701,500,4500 προς τον σερβερ l2tp/ipsec.

Οταν λοιπον συνδεθει ο ενας ειναι ολα οκ.

Αν συνδεθει δευτερος πεταει τον πρωτο εξω.

Αν αφαιρεσω το ipsec και αφησω σκετο το l2tp παιζουν οκ.

Διαβαζω λοιπον τις απαντησεις της Μικροτικ σε παλιοτερα ποστ στο φορουμ της.

Currently we are working on a L2tp/ipsec to support more than one client behind nat.
You can have as many L2TP connections as you like from the same NATed router.
Limitation is only for ipsec or any combination of ipsec (ipsec/l2tp, ipsec/gre etc.)

Απ το 2016 νομιζω και ακομη δεν φτιαχτηκε.

Καπου διαβασα οτι θα φτιαχτει στο ros7 αλλα ουτε εκει φτιαχτηκε απ οσο το τσεκαρα.

Οποτε το σεταπ για l2tp/ipsec 100% λειτουργικό πρεπει να παιζει απ ευθειας σε σερβερ με public ip

και οχι με pf και νατ σε παρακατω μηχανημα.

Τελος μια ερωτηση.

Οσο το εψαχνα ειδα μια ρυθμιση στο Νατ του Μικροτικ που ειναι το

netmap - creates a static 1:1 mapping of one set of IP addresses to another one. Often used to distribute public IP addresses to hosts on private networks

Καποιος εμπειρος θα μπορουσε να μου εξηγησει αν με το παραπανω θα με βοηθουσε να ξεπερασω το PF που κανω και δεν παιζει το l2tp/ipsec?

Ειναι κατι σαν DMZ ας πουμε?

Βεβαια δεν αφορα πορτες αλλα την ip γι αυτο το ρωταω.

Τι χανω και τι κερδιζω?

Ευχαριστω

[dalex]

Για να κανεις netmap πρεπει κατ' αρχην να εχεις μια διαθεσιμη IP στο υποδικτυο που θες να "βγαλεις" την πραγματικη IP. Το netmap υλοποιειται με δυο (2) κανονες, εναν για καθε κατευθυνση.

Παραδειγμα:

Εστω router με δυο υποδικτυα, LAN με private IPs (192.168.88.0/24) και DMZ με public IPs (88.88.88.0/28) που την εχεις απ' τον ISP σου.

O router εχει την 192.168.88.1 και την 88.88.88.2. Βγαινει στο internet απο δευτερο router που εχει την 88.88.88.1 (και απο την αλλη μερια τον ISP).

Εχεις στο LAN ενα server στην 192.168.88.10 και εξυπηρετει τους χρηστες σου. Θελεις ομως να τον βγαλεις και στο internet με την δικια του IP, εστω την 88.88.88.3.

1- Προσθετεις την 88.88.88.3 χωρις μασκα (/) στο DMZ interface.

2- Φτιαχνεις στο NAT ενα netmap, srcnat, src.address = 192.168.88.10, Out. interface = DMZ, To address = 88.88.88.3

3- Φτιαχνεις στο NAT ενα netmap, dstnat, dst.address = 88.88.88.3, In. interface = DMZ, To address = 192.168.88.10

Τωρα ο server σου θα φαινεται στο internet σαν 88.88.88.3, προς τα εξω και προς τα μεσα. Βαζεις βεβαια και τα σωστα φιλτρα να επιτρεπεις την κινηση.

[BillyVan]

Σε ευχαριστω.

Να υποθεσω οτι το σεναριο αυτο μπορει να γινει με στατικες ip που σου δινει ο παροχος και οχι

με 1 public ip που εχουμε συνηθως.

Το εχω δει στα LMDS των παροχων που σου δινουν 2 ip

1 για gateway και 1 η δικη σου

[dalex]

Ναι ακριβως, αν εχεις μια IP, κανεις απλο port forwarding στα εισερχομενα. Τα εξερχομενα βγαινουν ετσι κι αλλοιως με την (μοναδικη) IP σου.

Σε μια πιο απλη εκδοχη του παραπανω παραδειγματος, εχεις εναν μονο router (τον front), και "προσθετεις" τις επιπλεον IP που σου εχουν δωσει στο WAN interface. Μετα, με netmaps αντιστοιχεις τις IP αυτες με τις private IPs στα εσωτερικα υποδικτυά σου, LAN, DMZ, whatever.

[RyDeR]

Δοκιμάζω να κάνω L2TP/IPSec με συσκευές iOS.

Το κύριο μου δίκτυο είναι στο range 10.10.10.x. Στο ppp/secrets έκανα 2 χρήστες με διαφορετικά name/password, οπότε έδωσα στο χρήστη1 (εμένα) local adress 10.10.10.92 και remote 10.10.10.93 και στον χρήστη2 local adress 10.10.10.94 και remote 10.10.10.95. Οι IPs είναι εκτός του range που δίνει ο DHCP.

Ενώ τα έχω κάνει σωστά, firewall/nat κλπ, συνδέεται το δικό μου κινητό και κατά βούληση ενεργοποιώ αν θέλω να περνάει ΚΑΙ το internet traffic. Όλα καλά, βγαίνω. Το ίδιο και αν μπει ο χρήστης2, δουλεύουν όλα το ίδιο. Κανένα θέμα.

Το περίεργο είναι όταν πάει ναι μπει ο 2ος χρήστης ενώ είναι ο πρώτος συνδεμένος. Αρχίζουν τα περίεργα στο log "failed to pre-proccess ph2 packet" και τέτοια, επίσης πολλές φορές δεν μπαίνει με την πρώτη προσπάθεια το 2ος χρήστης. Υπάρχει κάτι σε policy που θέλει να ρυθμίσω;

[deniSun]

Δοκιμάζω να κάνω L2TP/IPSec με συσκευές iOS.

Το κύριο μου δίκτυο είναι στο range 10.10.10.x. Στο ppp/secrets έκανα 2 χρήστες με διαφορετικά name/password, οπότε έδωσα στο χρήστη1 (εμένα) local adress 10.10.10.92 και remote 10.10.10.93 και στον χρήστη2 local adress 10.10.10.94 και remote 10.10.10.95. Οι IPs είναι εκτός του range που δίνει ο DHCP.

Ενώ τα έχω κάνει σωστά, firewall/nat κλπ, συνδέεται το δικό μου κινητό και κατά βούληση ενεργοποιώ αν θέλω να περνάει ΚΑΙ το internet traffic. Όλα καλά, βγαίνω. Το ίδιο και αν μπει ο χρήστης2, δουλεύουν όλα το ίδιο. Κανένα θέμα.

Το περίεργο είναι όταν πάει ναι μπει ο 2ος χρήστης ενώ είναι ο πρώτος συνδεμένος. Αρχίζουν τα περίεργα στο log "failed to pre-proccess ph2 packet" και τέτοια, επίσης πολλές φορές δεν μπαίνει με την πρώτη προσπάθεια το 2ος χρήστης. Υπάρχει κάτι σε policy που θέλει να ρυθμίσω;

Μην ασχολείσαι καθόλου με l2tp/ipsec.
Είναι μη ασφαλές και θα έχεις θέματα στο ΜΤ.
Προσωπικά σε εμένα, αν δεν έκανα disconnect πριν κλείσω τον ΗΥ, κρατούσε ανοιχτό ο connection και δεν μπορούσα να συνδεθώ ξανά για ένα μεγάλο χρονικό διάστημα.

Θα σου πρότεινα ή openvpn ή wireguard.
Και τα δύο είναι σταθερότατα και ασφαλή.
Το openvpn έχει ελλειπή υλοποίηση από αυτή που προσφέρει η εταιρεία αλλά δεν θα έχεις κανένα θέμα στην ασφάλεια.
Πλέον παίζει και με udp αλλά το wireguard είναι πολύ γρηγορότερο.
Το wireguard έχει μια φασαρία με την αντιγραφή των κλειδιών αλλά θα σε αποζημειώσει με όλα τα άλλα που προσφέρει.
Δες το αντίστοιχο θέμα που έχουμε.
Ξεκίνησε από το τέλος να διαβάζεις.
Θα βρεις το configuration με όλα τα βήματα για να το στήσεις και σαν server και σαν client σε win/android (το ίδιο ισχύει και για όλα τα υπόλοιπα λειτουργικά).

[RyDeR]

Μην ασχολείσαι καθόλου με l2tp/ipsec.
Είναι μη ασφαλές και θα έχεις θέματα στο ΜΤ.
Προσωπικά σε εμένα, αν δεν έκανα disconnect πριν κλείσω τον ΗΥ, κρατούσε ανοιχτό ο connection και δεν μπορούσα να συνδεθώ ξανά για ένα μεγάλο χρονικό διάστημα.

Θα σου πρότεινα ή openvpn ή wireguard.
Και τα δύο είναι σταθερότατα και ασφαλή.
Το openvpn έχει ελλειπή υλοποίηση από αυτή που προσφέρει η εταιρεία αλλά δεν θα έχεις κανένα θέμα στην ασφάλεια.
Πλέον παίζει και με udp αλλά το wireguard είναι πολύ γρηγορότερο.
Το wireguard έχει μια φασαρία με την αντιγραφή των κλειδιών αλλά θα σε αποζημειώσει με όλα τα άλλα που προσφέρει.
Δες το αντίστοιχο θέμα που έχουμε.
Ξεκίνησε από το τέλος να διαβάζεις.
Θα βρεις το configuration με όλα τα βήματα για να το στήσεις και σαν server και σαν client σε win/android (το ίδιο ισχύει και για όλα τα υπόλοιπα λειτουργικά).

Θα το δοκιμάσω έτσι τότε. Ευχαριστώ.

[jkarabas]

Το wireguard έχει μια φασαρία με την αντιγραφή των κλειδιών αλλά θα σε αποζημειώσει με όλα τα άλλα που προσφέρει.

Νομίζω ότι από την 7.11 λύνεται και αυτό με το qrcode.
είναι σε beta τώρα.

[deniSun]

Νομίζω ότι από την 7.11 λύνεται και αυτό με το qrcode.
είναι σε beta τώρα.

Δεν θα το έκανα ποτέ έτσι.

[jkarabas]

Δεν θα το έκανα ποτέ έτσι.

Γιατί τι πρόβλημα υπάρχει σε αυτό;

[alefgr]

Προσωπικά μια χαρά με έχει βολέψει το qrcode στο android.

[kxrist]

γνωρίζοντας τα θέματα του l2tp/ipsec ποιον android client θα προτεινατε ?

[deniSun]

γνωρίζοντας τα θέματα του l2tp/ipsec ποιον android client θα προτεινατε ?

Δεν είναι θέμα client app αλλά πρωτοκόλλου.
Εγώ χρησιμοποιούσα τον stock του android.