+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Настройка MT в качестве VPN-сервера L2TP/IPSec для клиента Win XP с предварительно установленным ключом.

Настройка MT в качестве VPN-сервера L2TP/IPSec для клиента Win XP с предварительно установленным ключом., RouterOS

Janseno

Guest

03.09.2007 21:36:00

Привет всем! Это мой первый пост здесь, и, конечно же, я прошу помощи у вас, гуру. Я новичок в плане MikroTik. Я прочитал большую часть огромного руководства и установил бесплатную демо-версию MikroTik локально на старый компьютер, чтобы потренироваться, но всё равно нуждаюсь в помощи. У меня очень маленький офис, и я хочу настроить VPN-сервер L2TP/IPSec в моем офисе, чтобы подключаться к офису из удаленного места с моим ноутбуком с Win XP в качестве клиента с предварительно установленным ключом. Я ищу хорошее и безопасное решение по “нормальной” цене. Лицензия Win 2003 слишком дорога для меня, и я слышал, что Win 2003 не очень хорош в плане VPN. Поэтому я очень заинтересован в MikroTik в качестве моего VPN-сервера, и думаю, что лицензии уровня номер 4 будет достаточно для моих нужд, и цена очень приятна для моего кармана. Думаю, что уровня 4 достаточно для одного VPN-сервера и пользователя? Я прав? У меня DSL-соединение в офисе с динамическим IP-адресом. Если кто-то настроен помогать новичкам, как я, мне нужна ваша помощь, чтобы объяснить мне, как настроить MikroTik в качестве VPN-сервера. Моя клиентская сторона: VPN-клиентское программное обеспечение – это то, которое интегрировано в Win XP, и я настроил его с предварительно установленным ключом, и всё остальное по умолчанию из мастера. Серверная сторона – надеюсь, MikroTik: MikroTik имеет два Ethernet-интерфейса. Я успешно настроил PPPoE-клиента на ether1 для моего DSL-соединения и DHCP-сервер на ether2 в качестве шлюза по умолчанию для моей локальной сети (3 ПК), и это работает отлично. Я использую Winbox, потому что я не так знаком с терминальными вещами, и думаю, что я также успешно настроил L2TP-сервер и пользователя с паролем, но у меня большие проблемы с настройкой предварительно установленного ключа и IPSec. Я не понимаю, где именно нужно разместить этот предварительно установленный ключ и как настроить политику IPSec. Мне нужна помощь с этим. Я также знаю, что порты UDP 500, UDP 4500 и IP-протокол 50 должны быть разрешены как входящие данные для PPPoE-интерфейса в Интернет. Спасибо всем очень, очень сильно за любую помощь, и я надеюсь, что мой поиск хорошего VPN-сервера по разумной цене прекратится здесь на MikroTik и что это будет моим решением. Спасибо ещё раз. Я действительно ценю всю помощь.

Bomber67 Guest	#2 0 01.02.2009 14:52:00 Хм… не найдется ли у кого-нибудь, кто уже добился успеха в этом, пара минут, чтобы ознакомиться с моим описанием?

Janseno

Guest

19.09.2007 19:38:00

Ох, проблемы, проблемы… Во-первых, ещё раз спасибо! Но у меня всё ещё есть проблемы. Логически всё должно работать отлично, но мне кажется, я постоянно что-то упускаю. Пожалуйста, посмотри мою конфигурацию и помоги мне. Я скоро сойду с ума, пытаясь это решить, но я застрял на одном месте. Уфф.. Вот моя тестовая ситуация: роутер MikrTik имеет IP 192.168.5.1 на интерфейсе ether1, а DHCP-сервер настроен на этом интерфейсе для моей LAN. Это скриншот Winbox конфигурации L2TP/IPSec сервера на Mikrotik и 2 вида ошибок, которые я постоянно получаю на своей машине Win XP SP2 (VPN Client), когда пытаюсь подключиться к VPN серверу Mikrotik: Я пытаюсь установить VPN-соединение с моего Win-клиента к Mikrotik ether1 192.168.5.1 и постоянно получаю ошибки: Один раз получаю одну ошибку, а в следующий раз - вторую, и всё это при одинаковой конфигурации с обеих сторон (клиентская и серверная) всё время. Эти два вида ошибок абсолютно случайны. Для меня это очень странно. Что я вижу здесь на форуме - много гуру, думаю, что это проще простого для многих из вас, но я не могу решить эту проблему. Я что-то упускаю, это должно быть так, но что именно? Пожалуйста, помогите. Спасибо!

maximan Guest	#4 0 19.09.2007 20:08:00 Используй Shiva -SHA и дешифрование. Потому что Windows не поддерживает более защищённые сертификаты за пределами США. М.

Janseno

Guest

25.09.2007 22:31:00

Спасибо, Максиман, за помощь, но это всё равно не работает. Я перепробовал кучу комбинаций, и ничего не помогает: вот скриншот Winbox. Я потом пытался разобраться с этой проблемой на стороне клиента и отключил IPSec на машине с Win XP SP2, и когда я это сделал, соединение L2TP без IPSec было успешным между MT сервером и WinXP SP2 клиентом, но когда я пытаюсь установить L2TP с IPSec, это не работает. Так что я почти уверен, что проблема в IPSec, но мне нужна ещё помощь, чтобы понять, в чём дело. Есть ли ещё какие-то настройки, которые мне нужно сделать на сервере (MikroTik)? Пожалуйста, дайте какой-нибудь намёк, кажется, я медленно схожу с ума из-за этой проблемы с VPN. Если судить по тому, что можно прочитать на этом форуме, очевидно, что MT – это настолько профессиональное и мощное программное обеспечение, и моё желание не должно быть проблемой для MT. Думаю, в моей конфигурации чего-то не хватает. Может, мне нужно какое-то ручное правило IPSec или что-то ещё? Мне действительно нужна ещё помощь. Заранее спасибо!

maximan Guest	#6 0 26.09.2007 21:39:00 У меня тоже с XP SP2 проблемы. Я поменял ПК с такой же конфигурацией, и всё заработало! Видимо, дело в какой-то версии Windows. М.

Janseno

Guest

27.09.2007 16:59:00

Ух, звучит как плохая новость! Но это действительно странно, потому что я тестировал эту же машину с Windows XP SP2 с VPN-сервером Win 2k3 SP2 (моя запись выше), и всё отлично работает с настройками по умолчанию. Меня это сбивает с толку, потому что MT гораздо более ориентирован на профессиональные требования к сетевым технологиям со стороны провайдеров, чем Win 2k3, а всё работает с Win 2k3 и не работает с MT. Есть ещё что-то, что я могу проверить на стороне MikroTik? Что-нибудь?

JR1 Guest	#8 0 27.09.2007 21:00:00 Попробовал с IP-адресом другого участника сети?

Janseno

Guest

28.09.2007 16:40:00

Да, я всё это тестировал в своей локальной сети, и пытался ввести IP-адрес 192.168.5.200 в поле для адреса пира. И не работает. Это IP-адрес, который я настроил в PPP secret как локальный адрес VPN-сервера. Это вообще правильный адрес для указания в поле адреса пира? Я правда надеюсь, что найду решение с MikroTik, потому что я так устал искать хороший и не такой уж дорогой вариант для безопасного VPN-соединения, и MT кажется таким хорошим, но это меня сильно раздражает.

Bomber67

Guest

#10

20.01.2009 22:14:00

Привет всем! Я столкнулся с той же проблемой, о которой пишет Janseno. Не знаю, смог ли он разобраться, но у меня не получается запустить это. Я пытался следовать по этой вики: http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP и еще по этому руководству: http://www.jacco2.dds.nl/networking/win2000xp-openswan.html#PSK Я настраивал это несколько раз с нуля, но все равно что-то мешает мне запустить. По крайней мере, ошибка 781 всплыла в установщике соединения в XP. Настройка ROS кажется довольно простой, и я думаю, что настройка VPN-соединения L2TP тоже должна быть корректной. Я больше всего раздражен определениями политик IPSec в MMC. Эта часть кажется мне довольно запутанной, и я не могу сказать, что понимаю, что к чему, что важно, а что не важно. Особенно меня беспокоят фильтры в определениях политик. Если следовать вики, фильтр блокирует весь трафик к MT роутеру, не давая мне возможности подключиться к нему по Winbox и посмотреть, что происходит. Поможет ли импорт политики, предоставленной здесь? http://ntcanuck.com/ipsec/ipsecxp.htm Судя по сообщениям на форумах, многие люди сталкиваются с этой проблемой. Может ли кто-нибудь подсказать проверенную и воспроизводимую инструкцию, чтобы я мог настроить L2TP с IPSec/PSK dial-in к MT роутеру?

webor

Guest

#11

22.01.2009 07:56:00

Какая у тебя версия MT ROS? У меня получилось с версией 3. Попробуй обновиться до последней стабильной версии и попробуй еще раз. Нужно настроить L2TP сервер и секрет (твой логин и пароль) в MT в PPP, а также настроить IPSec пир с адресом 0.0.0.0/0 (ВНИМАНИЕ!: не 0.0.0.0, а 0.0.0.0/0). Если у тебя динамический IP или ты не знаешь, какой IP-адрес у VPN-клиента будет, то введи свой общих ключ, и самый простой способ — настроить generate policy to yes. С такой базовой настройкой и новой версией MT у тебя должно получиться. Также тебе нужно настроить тот же логин, пароль и общих ключ на твоей Windows XP машине. Единственная большая проблема, которую мне еще предстоит решить, — это то, что эта настройка не работает, когда клиентская машина находится за NAT, и причина этого — IPsec. Так что если кто-нибудь знает, что делать, пожалуйста, подскажи! Вот моя проблема: http://forum.mikrotik.com/t/mtik-l2tp-ipsec-vpn-server-for-win-clients-behind-nat/25451/1

Bomber67

Guest

#12

23.01.2009 12:32:00

Большое спасибо, webor, что нашёл время ответить! У меня работает 3.19. Ладно, проверю ещё раз настройки IPSec-пира. Хм, проблемы с NAT, я думаю, затронут 99% пользователей. Скорее всего, люди, подключающиеся к корпоративному VPN-серверу, сидят дома за каким-нибудь DSL-роутером-модемом или используют хот-спот или что-то подобное. Но проблема с NAT, должна меня пока не касаться, сейчас я тестирую настройку с чистым RB333 и моим ноутбуком, подключенным напрямую. Попробую ещё раз сегодня во второй половине дня. Могу ли я тебе написать в личку детали, если удастся изолировать проблему, или лучше сразу выложу здесь? У тебя есть чёткое понимание того, как правильно настроить IPSec policy snap-ins в XP? Я немного запутался, там столько списков, страниц свойств и так далее, и я не знаю, что действительно важно, а что нет. Не говоря уже о фильтрах… Хороших выходных!

webor

Guest

#13

24.01.2009 22:17:00

Да, конечно, можешь написать мне в личку, но я бы предложил написать здесь, потому что тут много замечательных экспертов, которые знают гораздо больше, чем я, и они смогут тебе помочь гораздо лучше, да и мне тоже будет полезно. У меня всё заработало без каких-либо изменений в IPSec на стороне Windows-клиента, просто стандартная настройка клиента l2tp/IPsec и ввод логина/пароля и предварительно общего ключа. В итоге должно работать. Windows-машина – Win XP SP2. Что ты уже пробовал и что хочешь настроить в оснастке IPSec?

Bomber67

Guest

#14

29.01.2009 13:36:00

Чтобы разобраться, я сделал пошаговую инструкцию, описывающую различные этапы. Я начал с Wiki по адресу http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP и попытался составить руководство, показывающее все шаги. Как уже упоминал, самое сложное — это разобраться с IPSec-настройками в XP, так что, надеюсь, этот метод поможет мне в этом когда-нибудь. К сожалению, что-то идёт не так, и у меня всё ещё не получается этого запустить. Я получаю разные коды ошибок: 781 и 800 при попытке подключения. Судя по всему, трафик не доходит до MT, поэтому, я думаю, проблема в XP. Может, мои фильтры мешают? Я был бы очень благодарен, если бы webor и все остальные нашли время просмотреть эту инструкцию и подсказать, что я упустил, чтобы я мог внести исправления. Начинать с этого описания должно быть проще, чем просто отвечать на вопрос: “Как настроить L2TP IPSec из Windows XP”. VPN_MT_WinXP.pdf (712 KB)

Bomber67 Guest	#15 0 11.02.2009 10:12:00 Я тут немного запутался в политиках безопасности, поэтому начал всё с нуля. У меня возникла проблема с работой IPSec и клиентов XP за NAT. Я включил NAT-T в определении IPSec-пира, но безрезультатно. У меня двойной NAT, сможет ли механизм NAT-T ROS справиться с этим? Я следовал этому описанию, которое очень простое: http://human.network.web.id/2008/01/15/mikrotik-l2tp-ipsec-connect-xp/. Вот моя конфигурация: ``` interface l2tp-server server set enabled=yes ppp secret add name=12345 password=12345 local-address=10.0.0.1 remote-address=10.0.0.2 ip ipsec peer add address=0.0.0.0/0:500 secret=123456789 generate-policy=yes ``` Я подключался с моего ноутбука через карту HSDPA, что давало мне публичные адреса на стороне клиента и сервера, и – вооля! – я подключился. Теперь мой вопрос в том, можно ли считать эту конфигурацию достаточно безопасной, и, в конечном итоге, какие изменения я могу внести для повышения безопасности. Вот лог с VPN-сервера MT (IP-адреса скрыты): ``` 10:57:24 ipsec respond new phase 1 negotiation: ..176.81[500]<=>..2.9[500] 10:57:24 ipsec begin Identity Protection mode. 10:57:24 ipsec received broken Microsoft ID: MS NT5 ISAKMPOAKLEY 10:57:24 ipsec received Vendor ID: FRAGMENTATION 10:57:24 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 10:57:24 ipsec 10:57:25 ipsec the packet is retransmitted by ..2.9[500]. 10:57:25 ipsec ISAKMP-SA established ..176.81[500]-..2.9[500] spi:0ac90c13e2ad13a9:ff5bafe67f19f1ec 10:57:26 ipsec respond new phase 2 negotiation: .*.176.81[500]<=>..2.9[500] 10:57:26 ipsec Update the generated policy : ..2.9/32[1701] .*.176.81/32[1701] proto=udp dir=in 10:57:26 ipsec authtype mismatched: my:hmac-sha peer:hmac-md5 10:57:26 ipsec IPsec-SA established: ESP/Transport ..2.9[0]->.*.176.81[0] spi=218361543(0xd03eec7) 10:57:26 ipsec IPsec-SA established: ESP/Transport .*.176.81[0]->..2.9[0] spi=344047366(0x1481bf06) 10:57:27 l2tp,ppp,info <l2tp-0>: waiting for call... 10:57:27 l2tp,ppp,info <l2tp-0>: authenticated 10:57:28 l2tp,ppp,info <l2tp-0>: connected 10:57:28 l2tp,ppp,info,account 12345 logged in, 10.0.0.2 10:57:28 l2tp,ppp,info <l2tp-12345>: using encoding - MPPE128 stateless 10:57:51 l2tp,ppp,info,account 12345 logged out, 24 4108 286 38 12 10:57:51 l2tp,ppp,info <l2tp-12345>: terminating... 10:57:51 l2tp,ppp,info <l2tp-12345>: disconnected 10:57:52 ipsec ISAKMP-SA expired .*.176.81[500]-..2.9[500] spi:0ac90c13e2ad13a9:ff5bafe67f19f1ec 10:57:53 ipsec ISAKMP-SA deleted .*.176.81[500]-..2.9[500] spi:0ac90c13e2ad13a9:ff5bafe67f19f1ec 10:57:59 ipsec respond new phase 1 negotiation: .*.176.81[500]<=>..2.9[500] 10:57:59 ipsec begin Identity Protection mode. 10:57:59 ipsec received broken Microsoft ID: MS NT5 ISAKMPOAKLEY 10:57:59 ipsec received Vendor ID: FRAGMENTATION 10:57:59 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 10:57:59 ipsec 10:58:00 ipsec ISAKMP-SA established .*.176.81[500]-..2.9[500] spi:a71c9b0112749bba:8782e9b94cc010f7 10:58:00 ipsec respond new phase 2 negotiation: .*.176.81[500]<=>..2.9[500] 10:58:00 ipsec Update the generated policy : ..2.9/32[1701] .*.176.81/32[1701] proto=udp dir=in 10:58:00 ipsec authtype mismatched: my:hmac-sha peer:hmac-md5 10:58:01 ipsec IPsec-SA established: ESP/Transport ..2.9[0]->.*.176.81[0] spi=18944743(0x12112e7) 10:58:01 ipsec IPsec-SA established: ESP/Transport .*.176.81[0]->.**.2.9[0] spi=3847806699(0xe558deeb) 10:58:01 l2tp,ppp,info <l2tp-0>: waiting for call... 10:58:01 l2tp,ppp,info <l2tp-0>: authenticated 10:58:02 l2tp,ppp,info <l2tp-0>: connected 10:58:02 l2tp,ppp,info,account 12345 logged in, 10.0.0.2 10:58:03 l2tp,ppp,info <l2tp-12345>: using encoding - MPPE128 stateless ``` Кто может прокомментировать это?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры