IPSec/L2TP VPN на Mikrotik за NAT, но с FQDN.

Как я тут прочитал, это возможно, но я пытаюсь, и переговоры по IPSec начинаются, но не устанавливаются. Моя схема:

Private LAN
RB951G v6.7
ADSL ROUTER 192.168.0.1/24  -----> 192.168.0.220
192.168.1.220       192.168.1.1
213.56.122.xxx

ADSL Router default DMZ — 192.168.1.220. Я звоню 213.56.122.xxx с PC "road-warrior" используя PPTP mschapv2, и VPN работает отлично. Я пробую и пробую использовать L2TP с IPSec сервером на mkt, и, должно быть, что-то не так или это просто невозможно, т.к. проваливаются переговоры по IPSec. Создается: Динамическая политика в IP SEC: src-address=“Remote IP Public Address” src-port=any dst-address=213.56.122.xxx dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=NO sa-src-address==“Remote IP Public Address” sa-dst-address=213.56.122.xxx proposal=default priority=2

Remote Peers:
Local Address: 192.168.1.220
Remote Address:=“Remote IP Public Address”
Side: Responder
Established: in time…
Installed SA:
Src Address: :=“Remote IP Public Address”
Dst Address: 192.168.1.220

…Можете ли вы сказать, будет ли это работать с предоставленной схемой? Спасибо заранее.

Довольно старая дискуссия, но я столкнулся с той же проблемой: не получается настроить MT L2TP/IPSEC AC за NAT, потому что политика создается на основе публичных IP-адресов, а SA устанавливаются с MT AC WAN IP (который все равно приватный, скрытый за NAT). Если вручную создать политику с MT WAN IP в качестве источника и публичный IP удаленного клиента (который постоянно меняется, так что это бесполезно), L2TP/IPSEC работает отлично!!! Cisco это делает, Microsoft это делает, другие бренды это делают, не знаю, почему Mikrotik не может реализовать способ создания динамической политики с IP-адресом интерфейса routerboard WAN в качестве источника для входящих запросов L2TP/IPSEC (или 0.0.0.0/0). Это невозможно или просто недостаточно пользователей, чтобы это реализовали?? Есть ли какой-нибудь ответ от сотрудников MT?? Спасибо большое.

P.S. Мне кажется, та же проблема возникает при защите GRE-туннеля между MT-устройствами, оба конца которых находятся за NAT, и одно из двух устройств с динамическим ISP IP-адресом: снова, когда политика создается динамически MT-устройством за NAT, используются неправильные параметры, и она не работает. С обеими статическими ISP-адресами проблем нет, так как политики создаются вручную и правильно. Можете подтвердить это??

Это xDSL соединение? У меня нет опыта, но я не думаю, что PPPoE клиент внутри MT машины так много ресурсов потребляет, как только PPPoE соединение установлено… В одной из моих установок мне пришлось делать так: настроил Cisco роутер как прямой DSL модем (ATM и Ethernet соединены вместе), а Routerboard оставить для работы с PPPoE, чтобы получить РЕАЛЬНЫЙ публичный IP-адрес сразу на интерфейсе WAN Mikrotik. Другие провайдеры здесь предоставляют свои собственные DSL-роутеры со встроенными телефонными линиями как VoIP в своих устройствах, так что вы теряете эту функцию, если роутер заменить. Всё, что я могу сделать, — это прозрачный NAT без каких-либо возможностей L2TP, если публичный IP динамический.

Что делать, когда AC (Access Controller) находится за NAT и имеет приватный IP? У меня та же проблема: IPSEC VPN сервер стоит за Mikrotik RB450G.

Томаскир, посмотри, пожалуйста, что я написал в другой теме: http://forum.mikrotik.com/t/ipsec-l2tp-issue/68761/1. Спасибо.

Это ограничение IPSec. Для чистого L2TP, AC (аутентификационный сервер) может быть за NAT без проблем. А вот для L2TP/IPSec — нет.

О да, с другими вендорами это может работать, IPSec от Cisco тоже работает, когда AC находится за NAT. Они не включают адреса источника и назначения IP-заголовка и ещё несколько вещей в расчёты контрольной суммы IPSec, и поэтому пакет не становится недействительным при обработке IPSec-процессом. А с Mikrotik я не знаю, как это заставить работать.