+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

L2TP/IPSec VPN доступ для клиента Mac OS X 10.5

L2TP/IPSec VPN доступ для клиента Mac OS X 10.5, RouterOS

mrstroob

Guest

19.03.2009 21:54:00

Здравствуйте, я никак не могу настроить L2TP с IPSec. Я прочитал все документы вики и почти все форумы с похожими проблемами, но у меня ничего не получается. Я пытаюсь настроить VPN-доступ для подключения с моего MacBook Pro к RB500, на котором запущена последняя версия ROS 3.22 (так что это не роутер-роутеру, как описано в большинстве документов). MacBook работает на OS X 10.5, которая поддерживает L2TP/IPSec "из коробки". Включил L2TP-сервер: /interface l2tp-server server> export
# mar/19/2009 19:57:04 by RouterOS 3.22
# software id = xxxxxxx
#
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default-encryption enabled=yes max-mru=1460 max-mtu=1460 \
mrru=disabled (ПРИМЕЧАНИЕ: я не создавал новый интерфейс L2TP-сервера, только включил сервер с помощью “enabled=yes” - не уверен, в чем разница) Добавил PPP-секрет: /ppp secret> export
# mar/19/2009 19:54:10 by RouterOS 3.22
# software id = xxxxxx
#
/ppp secret
add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 local-address=192.168.1.160 name=stroob \
password=****** profile=default-encryption remote-address=192.168.1.161 routes="" service=l2tp Не очень уверен, правильные ли IP-адреса. Моя сеть 192.168.1.0, и я хочу, чтобы подключающийся VPN-клиент использовал внутренний адрес. Добавил IPSec-параметр: /ip ipsec peer> export
# mar/19/2009 19:55:39 by RouterOS 3.22
# software id = xxxxxxx
#
/ip ipsec peer
add address=0.0.0.0/32:500 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd \
dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main generate-policy=yes hash-algorithm=sha1 lifebytes=0 \
lifetime=1d nat-traversal=no proposal-check=obey secret=****** send-initial-contact=yes Затем я настраиваю Mac для L2TP/IPSec, вводя публичный IP, пользователя, пароль, секрет. Когда я пытаюсь подключиться, вижу трафик на UDP-портах в MT. Mac сначала пытается подключиться к порту 1701, затем делает второй запрос к порту 500, после чего через около 10 секунд я получаю расплывчатое сообщение "сбой подключения, проверьте настройки". Еще один вопрос: как я могу увидеть информацию уровня отладки о этом соединении в ROS? Я, вероятно, смог бы разобраться, если бы получил эту информацию. Я добавил правило логирования для тем "l2tp, ipsec, ppp" с действием "memory", но не вижу вывода в окне журнала. Правила межсетевого экрана:
# mar/19/2009 17:45:32 by RouterOS 3.22
# software id = xxxxxxx
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s \
tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=drop chain=input comment="Блокировать некорректные соединения" connection-state=invalid disabled=no
add action=accept chain=input comment="Разрешить уже установленное соединение" connection-state=established disabled=no
add action=accept chain=input comment="Разрешить UDP" disabled=no protocol=udp
add action=accept chain=input comment="Разрешить ICMP" disabled=no protocol=icmp
add action=accept chain=input comment="Разрешить доступ из LAN" disabled=no src-address=192.168.1.0/24
add action=drop chain=input comment="Блокировать всё остальное" disabled=no
add action=drop chain=forward comment="Блокировать некорректные соединения" connection-state=invalid disabled=no
add action=accept chain=foward comment="Разрешить уже установленное соединение" connection-state=established disabled=no
add action=drop chain=forward comment="Блокировать ботнеты" disabled=no src-address=0.0.0.0/8
add action=drop chain=forward comment="" disabled=no dst-address=0.0.0.0/8
add action=drop chain=forward comment="" disabled=no src-address=127.0.0.0/8
add action=drop chain=forward comment="" disabled=no dst-address=127.0.0.0/8
add action=drop chain=forward comment="" disabled=no src-address=224.0.0.0/3
add action=drop chain=forward comment="" disabled=no dst-address=224.0.0.0/3
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan0
add action=dst-nat chain=dstnat comment=server1 disabled=no dst-port=922 in-interface=wan0 protocol=tcp to-addresses=\
192.168.1.150 to-ports=22
add action=dst-nat chain=dstnat comment=server2 disabled=no dst-port=924 in-interface=wan0 protocol=tcp to-addresses=\
192.168.2.3 to-ports=22
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no

MacFly

Guest

11.06.2015 17:58:00

Вот что у меня сейчас работает: IP-адрес роутера 192.168.1.1 WAN IP 65.35.xxx.xxx LAN DHCP-пул 192.168.1.100 до 150 на роутере IP сервера 192.168.1.11 для файлового обмена, DNS, FTP, VPN и веб-сайтов VPN Apple Server: Настройка VPN для: L2TP Имя хоста VPN: 192.168.1.11 (мой IP-адрес Apple Server) Общий ключ: (секрет здесь) Клиентские адреса: 2 для L2TP (Редактировать… использовал 2, начиная с 192.168.1.151, не в моем DHCP-пуле) Настройки DNS: 2 DNS-сервера, без доменов (Редактировать… добавил IP-адреса моих локальных и внешних DNS-серверов) Маршруты: маршруты не настроены. MacBook Сеть VPN (L2TP): Адрес сервера: 65.35.xxx.xxx (WAN IP-адрес) Имя учетной записи: (имя пользователя LAN) Настройки аутентификации… Пароль (пароль пользователя LAN) Общий ключ: (секрет здесь) RouterBoard: [admin@MikroTik] /ip firewall filter> print 6 ;;; разрешить l2tp chain=input action=accept protocol=udp dst-port=500 log=no log-prefix="" [admin@MikroTik] /ip firewall nat> print 0 ;;; маска. vpn-трафик chain=srcnat action=masquerade protocol=ipsec-esp src-address=192.168.1.0/24 dst-address=192.168.1.11 log=yes log-prefix="masq vpn" [admin@MikroTik] /ip ipsec policy> print 0 T * group=*2 src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes 1 D src-address=192.168.1.100/32 src-port=any dst-address=65.35.xxx.xxx/32 dst-port=any protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=192.168.1.151 sa-dst-address=65.35.xxx.xxx priority=2 [admin@MikroTik] /ip ipsec peer> print 0 address=0.0.0.0/0 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret=“секрет здесь” generate-policy=port-override policy-template-group=*2 exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d dpd-interval=disable-dpd dpd-maximum-failures=5 [admin@MikroTik] /ip ipsec proposal> print 0 * name="default" auth-algorithms=sha1 enc-algorithms=des,3des,aes-128-cbc,aes-256-cbc lifetime=30m pfs-group=modp1024 В этой теме была некоторая дискуссия о группах: http://forum.mikrotik.com/t/solved-l2tp-ipsec-stoped-working-after-upgrade-to-6-18/79942/1 Буду признателен за любые комментарии по некорректной конфигурации или уязвимостям в безопасности.

omni1504 Guest	#3 0 06.04.2009 15:11:00 Привет! У кого-нибудь есть обновления по этой проблеме? Клиент Mac OS X пишет 23:33:53 ipsec, что длина в заголовке isakmp слишком большая. С уважением, Амир.

Lefteris Guest	#4 0 22.10.2009 10:35:00 Похоже, что даже сейчас с ROS v4.1 и Mac OS X 10.6 проблема все еще остается. У кого-то были успехи с L2TP/IPSec и Mac OS X?

chatur

Guest

06.12.2009 17:47:00

На RouterOS 4.0beta2 все работает хорошо. Добавил IPSec-peer следующим образом: /ip ipsec peer add address=0.0.0.0/0:500 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main generate-policy=yes hash-algorithm=sha1 lifebytes=0 lifetime=1d nat-traversal=no proposal-check=obey secret=**** send-initial-contact=yes не как: /ip ipsec peer add address=0.0.0.0/32:500 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main generate-policy=yes hash-algorithm=sha1 lifebytes=0 lifetime=1d nat-traversal=no proposal-check=obey secret=**** send-initial-contact=yes

paulmuk

Guest

13.10.2010 10:19:00

У меня тоже проблемы с ROS v4.1 и Mac OS X 10.6. Похоже, что IPSec работает, а вот L2TP/PPP не подключается. Судя по логам OSX… 13/10/2010 11:01:04 pppd[2113] IPSec соединение установлено 13/10/2010 11:01:24 pppd[2113] L2TP не может подключиться к серверу. У кого-нибудь есть советы?

MacFly

Guest

06.06.2015 03:07:00

Искав этот старый тред, я тоже не могу подключить Mac OSX 10.10.3 через новый RB951G-2HnD к MacPro 10.9.5 Server v3.0.3 с L2TP VPN. На клиенте Mac был зарегистрирован следующий вывод: Пт, 5 июн 22:17:52 2015: publish_entry SCDSet() не удался: Успех! Пт, 5 июн 22:17:52 2015: publish_entry SCDSet() не удался: Успех! Пт, 5 июн 22:17:52 2015: l2tp_get_router_address Пт, 5 июн 22:17:52 2015: l2tp_get_router_address 192.168.1.1 из dict 1 Пт, 5 июн 22:17:52 2015: L2TP соединение с сервером ‘65.35.xxx.xxx’ (65.35.xxx.xxx)… Пт, 5 июн 22:17:52 2015: IPSec соединение начато Пт, 5 июн 22:17:52 2015: IPSec фаза 1 клиент начата Пт, 5 июн 22:17:52 2015: IPSec фаза 1 сервер ответил Пт, 5 июн 22:18:22 2015: IPSec соединение не удалось. VPN ранее стабильно работал с тем же клиентом через роутер WRT54G с прошивкой dd-WRT, который имел переадресацию портов на внешние UDP порты 500, 1701 и 4500 (для L2TP) и TCP порт 1723 (для PPTP) к соответствующим портам на VPN сервере. Будучи новичком в RouterOS v6.27, мне интересно, может кто-нибудь дать мне советы. Я использую WebFig и CLI, но могу настроить Winbox, если это необходимо. Спасибо.

Nollitik Guest	#8 0 10.06.2015 20:03:00 Если вы перейдете в Систему > Журналирование, затем добавьте в память L2TP и IPsec… пожалуйста, смотрите скриншот Screen Shot 2015-06-10 at 2.57.55 PM.png

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры