+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

l2tp клиент: настроить исходящий порт

l2tp клиент: настроить исходящий порт, RouterOS

doka

Guest

29.12.2023 14:27:00

Привет, проблема, с которой я столкнулся, подробно обсуждается на форуме, например, здесь: http://forum.mikrotik.com/t/multiple-road-warrior-l2tp-ipsec-clients-behind-nat-solved/118206/1 и здесь: http://forum.mikrotik.com/t/l2tp-ipsec-client-behind-nat/115845/1 — всё про множественных L2TP/IPSec клиентов за общим NAT. Насколько я понял, проблема решается, если такие L2TP-клиенты используют разные исходящие порты (случайные). По первой ссылке — некоторые реализации клиентов знают об этом и используют рандомные порты. Серверная часть RouterOS не строго относится к этому и принимает подключения от таких клиентов, так что для этих реализаций это решает проблему, возможно, и для клиента MikroTik это тоже может быть выходом. Правильно ли я понимаю? Но, кажется, эта функция не реализована в L2TP-клиенте RouterOS — нет возможности менять исходящий порт. Если это действительно решение, как можно попросить MikroTik реализовать эту функцию (случайный выбор исходящего порта клиента L2TP)? Пока что, может, есть идеи, как это можно сделать (srcport:1701 → srcport:другой до ESP-инкапсуляции) на стороне клиента каким-то другим способом? Спасибо.

IgnacioAA

Guest

05.06.2024 15:20:00

Здравствуйте, версия роутера, которую у меня есть — RouterOS 7.8. При вводе этих правил:

"[admin@MI2] /ip/firewall> export
/ip firewall mangle add action=mark-packet chain=output new-packet-mark=lo2tp protocol=udp src-port=1701
/ip firewall nat add action=src-nat chain=srcnat packet-mark=lo2tp protocol=udp to-ports=17003"

я их делаю, но последнее правило не срабатывает, выдает ошибку:

"/ip ipsec policy add dst-port=1701 level=unique peer=remote_peer proposal=l2tp protocol=udp src-port=17003"

Ошибка говорит: "input does not match any value of peer". Почему так происходит? Спасибо.

jaclaz Guest	#3 0 05.06.2024 16:24:00 У тебя есть пир с именем «remote_peer»?

IgnacioAA

Guest

05.06.2024 18:24:00

Не знаю, откуда мне знать? Что мне проверить? Я использовал скрипт, как увидел, потому что думал, что это решение: "/ip ipsec policy add dst-port=1701 level=unique peer=remote_peer proposal=l2tp protocol=udp src-port=17003". Ошибка в том, что это не совпадает ни с одним значением peer.

jaclaz

Guest

06.06.2024 09:19:00

Проверь настройку. Команда должна быть: /ip ipsec peer print, чтобы вывести список всех существующих пиров. Кстати, я понятия не имею, как работает или должна настраиваться l2tp/ipsec, я просто пытаюсь объяснить тебе причину, почему возникает эта ошибка: команда пытается добавить что-то к пиру, а такой пир не найден.

pe1chl Guest	#6 0 06.06.2024 09:27:00 Он просто копирует и вставляет команды в свой конфиг, не понимая контекста, поэтому ничего не работает.

IgnacioAA Guest	#7 0 06.06.2024 14:47:00 Привет, вот что указано. Флаги: X – отключено; D – динамический; R – ответчик 0 DR name=“l2tp-in-server” passive=yes profile=default exchange-mode=main send-initial-contact=yes Есть ли решение проблемы с NAT?

jaclaz Guest	#8 0 07.06.2024 07:38:00 Понятия не имею, что это сделает, но в вашем случае команда должна быть такой: /ip ipsec policy add dst-port=1701 level=unique peer=> l2tp-in-server > proposal=l2tp protocol=udp src-port=17003 Не могу сказать, нужны ли при этом двойные кавычки или нет.

pe1chl Guest	#9 0 07.06.2024 08:14:00 Нет, это неправильно. Интерфейс — это не то же самое, что и пир. Всё очень сложно.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры