+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

L2TP/IPSec — несколько профилей IPSec

L2TP/IPSec — несколько профилей IPSec, RouterOS

ndonzis Guest	#1 0 25.03.2022 20:20:00 Здравствуйте, наткнулся на вопрос и не смог найти ответ на форуме: есть ли способ использовать несколько IPSec профилей для разных L2TP секретов? Как вы бы это реализовали? Всем спасибо.

zezeme

Guest

31.01.2025 18:30:00

Привет! Я нашёл этот форум, потому что у меня похожая проблема. Хотелось бы узнать, может кто-то сможет помочь. Я создал IPSec туннель между головным офисом и несколькими другими локациями, используя IKEv2 и профиль с SHA512, AES-256 и MODP-2048. Также я настроил L2TP/IPSec для тех, кто работает удалённо. Проблема в том, что, как вы уже говорили, динамически создаётся пир и идентификатор, которые используют профиль IPSec туннеля, описанный выше, и не выбирают профиль, который я создал специально для L2TP удалённого доступа. Из-за этого удалённый доступ ломается, если используется SHA512 — он работает только с SHA1. Поэтому я создал отдельный профиль только для L2TP сервера. Но мне приходится удалять динамически созданные, а при каждом перезагрузке Mikrotik создаёт новый, который снова выбирает первый профиль, и L2TP доступ снова не работает. Что мне делать?

sindy

Guest

31.01.2025 19:14:00

Вы можете выложить текстовый экспорт вашей текущей конфигурации. На форуме есть множество описаний, которые объясняют, как его создать и правильно замаскировать перед тем, как публиковать, чтобы сохранить внутреннюю целостность информации. Но, возможно, это и не понадобится, если достаточно будет следующего: L2TP действительно использует строку /ip ipsec profile с именем default и шаблон политики /ip ipsec policy, принадлежащий группе default, если вы указываете системе создавать peer, identity и политики динамически, и это действительно нельзя изменить, но вы можете создать свой собственный профиль и шаблон политики для настройки IKEv2. Более того, вы можете создать несколько идентификаторов для IKEv2 для одного и того же peer, если сможете указать initiator ID и связать их с разными группами шаблонов политики. Мне, например, пришлось так сделать, чтобы адаптировать поведение под клиентов IKEv2 на Windows и iOS.

zezeme

Guest

31.01.2025 19:38:00

Вот, пожалуйста, дай знать, если я замаскировал что-то, чего не следовало.

31 января 2025, xx:xx:xx, RouterOS 6.49.8
software id = ### #- ####
model = RB750Gr3
serial number =

/interface bridge add name=lan-office
/interface ethernet set [find default-name=ether1] name=ether1-wan
set [find default-name=ether2] name=ether2-PC1
set [find default-name=ether3] name=ether3-SERVER
set [find default-name=ether4] name=ether4-POS
set [find default-name=ether5] name=ether5-AP

/interface wireless security-profiles set [find default=yes] supplicant-identity=MikroTik

/ip ipsec peer add address=PUBLIC-IP exchange-mode=ike2 name=store1
/ip ipsec profile set [find default=yes] dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha512 name=ipsec1
add dh-group=modp2048 enc-algorithm=aes-256 name=remote
/ip ipsec peer add name=l2tp-in-server passive=yes profile=remote
/ip ipsec proposal set [find default=yes] disabled=yes
add enc-algorithms=aes-128-cbc lifetime=1d name=proposal1-IPSEC pfs-group=none
add auth-algorithms=sha512,sha256,sha1 name=proposal-remote pfs-group=none

/ip pool add comment="lan-pool" name=pool1_local ranges=xx.xx.xx.50-xx.xx.xx.100
add comment="remote-pool" name=pool2-remote_access ranges=XX.XX.XX.100-xx.XX.xx.150
add comment="WIFI-pool" name="pool3-guests-WIFI" ranges=xxx.xxx.x.101-xxx.xxx.x.150

/ip dhcp-server add address-pool=pool1_local disabled=no interface=lan-office lease-time=1h name=dhcp_bridge

/ppp profile add dns-server=1.1.1.1,8.8.8.8 local-address=xxx.xxx.x.1 name="remote-profile" remote-address=pool2-remote_access

/interface bridge port add bridge=lan-office interface=ether2-PC1
add bridge=lan-office interface=ether3-SERVER
add bridge=lan-office interface=ether4-POS
add bridge=lan-office interface=ether5-AP

/interface l2tp-server server set authentication=mschap2 default-profile="remote-profile" enabled=yes ipsec-secret=xxxxxxxxx use-ipsec=yes

/ip address add address=publicIP-headoffice/24 comment="wan modem" interface=ether1-wan network=publicIP-gateway
add address=IP-localred-headoffice/24 comment=bridge interface=lan-office network=xxx.xxx.x.0
add address=xxx.xxx.X.2 comment="for PC1 ether2" interface=ether2-PC1 network=xxx.xxx.x.0
add address=xxx.xxx.x.3 comment="server ether3" interface=ether3-SERVER network=XXX.xxx.x.0
add address=xxx.xxx.x.4 comment="POS ether4" interface=ether4-POS network=xxx.xxx.x.0
add address=xxx.xxx.x.5 comment="AP TP LINK ether5" interface=ether5-AP network=xxx.xxx.x.0

/ip dhcp-server network add address=xxx.xxx.x.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=xxx.xxx.x.1

/ip dns set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static add address=xxx.xxx.x.97 name=SERVIDOR

/ip firewall address-list add address=194.50.16.198 list=blocked_ips
add address=194.50.16.1 list=blocked_ips
add address=103.102.230.5 list=blocked_ips
add address=185.147.124.54 list=blocked_ips
add address=xxx.xxx.x.100 list=ssh-allowed
add address=xxx.xxx.x.100 list=api-allowed
add address=xxx.xxx.x.1 list=api-allowed
add address=xxx.xxx.x.3 list=api-allowed
add address=xxx.xxx.x.1 list=ssh-allowed
add address=xxx.xxx.x.3 list=ssh-allowed

/ip firewall filter add action=drop chain=input src-address=194.50.16.198
add action=drop chain=input src-address=194.50.16.1
add action=drop chain=input src-address=103.102.230.5
add action=drop chain=input src-address=185.147.124.54
add action=accept chain=input dst-port=x protocol=tcp src-address=xxx.xxx.x.100
add action=accept chain=input dst-port=x protocol=tcp src-address-list=ssh-allowed
add action=accept chain=input dst-port=xx protocol=tcp src-address-list=api-allowed
add action=drop chain=input dst-port=xx protocol=tcp
add action=drop chain=input dst-port=x protocol=tcp

/ip firewall nat add action=accept chain=srcnat dst-address-list=xxx.xxx.x.0/24 (local headoffice src-address-list=xxx.xxx.x.0/24 (local headoffice)
add action=accept chain=srcnat dst-address=xxx.xxx.xx.0/24 (local store1) out-interface=ether1-wan src-address=xxx.xxx.x.0/24 (local headoffice)
add action=masquerade chain=srcnat out-interface=ether1-wan

/ip ipsec identity add peer=store1 secret=xxxxx
add generate-policy=port-strict peer=l2tp-in-server remote-id=ignore secret=xxx

/ip ipsec policy set 0 comment="don’t delete, policy for l2tp" proposal="proposal remote"
add dst-address=xxx.xxx.xx.0/24 (local store1) peer=store1 proposal=proposal1-IPSEC src-address=Xxx.xxx.x.0/24 (local headoffice) tunnel=yes

/ip route add distance=1 gateway=public gateway headoffice
add distance=1 dst-address=xxx.xxx.xx.0/24 (local store1) gateway=lan-office

/ip service set telnet disabled=yes

/ppp secret add name=user1 password=xxxx profile="remote-profile" service=l2tp
add name=user2 password=xxx profile="remote-profile" service=l2tp
add name=user3 password=xxx profile="remote-profile" service=l2tp

/system clock set time-zone-name=xxx

sindy

Guest

31.01.2025 20:45:00

Что касается публикации — считается полезным размещать код между тегами

Код
и

, которые можно получить, нажав кнопку [</>] над формой редактирования. Обфускация не скрыла никаких внутренних связей, так как конфигурация довольно простая. Как я и подозревал, ваш пир IKEv2 с именем store1 использует элемент /ip ipsec profile с именем default, то есть тот же, который стек L2TP применяет для динамического создания пира по запросу. Помимо этого, вы действительно просите L2TP создать пира динамически, но при этом у вас есть статический пир IKE(v1) с именем l2tp-in-server. Он ссылается на другой элемент /ip ipsec profile, не тот, что default, но в каждый момент времени входящие соединения используют только одного пира IKE(v1); не могу сказать, кто именно «выигрывает», но команда /ip ipsec peer print ответит на этот вопрос, поскольку RouterOS выдает предупреждение, если один пир перекрывается другим.

zezeme

Guest

31.01.2025 20:54:00

Кто-то посоветовал мне убрать галочку с «use ipsec» в настройках L2TP-сервера или поставить там «no». Я думал, что если так сделать, то ipsec для удалённого доступа по L2TP полностью отключится, но мне сказали, что если вручную добавить peer и identity, то ipsec не выключится. Сейчас у меня другая проблема, может, помогли бы, если не сложно. С удалённых ПК я могу пинговать любое устройство в головном офисе, но не могу пинговать устройства в store1, хотя с любых устройств в головном офисе до store1 пинг проходит. Значит, что-то не так с маршрутами или правилами файрвола, можно ли это как-то решить? Основная задача удалённых ПК — доступ к серверу и другим ПК в магазинах для устранения неполадок, если что-то случится.

sindy Guest	#7 0 31.01.2025 21:21:00 Чтобы проанализировать это, обфускация действительно получилась слишком агрессивной. Непонятно, как пулы связаны с подсетями (на самом деле, нет никакого смысла прятать приватные IP-адреса). Скорее всего, причина в том, что селектор трафика в ipsec-политике, которая связывает головной офис с магазином, не охватывает адреса, назначенные L2TP-клиентам, но настоящая причина может быть другой — увидим, когда ты выложишь экспорт с более подробной информацией. Я за системную замену каждого конкретного уникального номера порта (например, 12345) на уникальную строку (например, «ssh-port-number») с помощью функции поиска и замены в текстовом редакторе, но главное условие — чтобы после обфускации была понятна связь между элементами (здесь — правилами файрвола). Поэтому лучше не трогать приватные адреса и заменять только первые три (или даже два) байта публичных адресов на текстовые строки — так обфускация будет выглядеть аккуратнее.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры