+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Конфигурация VPN-сервера L2TP/IPSec для клиентов, находящихся за NAT

Конфигурация VPN-сервера L2TP/IPSec для клиентов, находящихся за NAT, RouterOS

cthil

Guest

16.04.2016 17:42:00

Привет, настроить L2TP/IPSec VPN сервер на ros (версии 6.34 и 6.35) оказалось довольно просто. Вопреки всем найденным мной руководствам, это не работает, если клиент находится за NAT-шлюзом.

Конфигурация, связанная с VPN, следующая:
/ip pool
add name=vpn-pool ranges=192.168.200.100-192.168.200.149
/ppp profile
set *0 dhcpv6-pd-pool=none local-address=192.168.200.254 remote-address=vpn-pool
/interface l2tp-server server
set authentication=mschap2 default-profile=default enabled=yes ipsec-secret=x use-ipsec=yes
/ppp secret
add name=x password=x service=l2tp

На стороне клиента получаю такой лог:
racoon[34818]: accepted connection on vpn control socket.
racoon[34818]: Connecting.
racoon[34818]: IPSec Phase 1 started (Initiated by me).
racoon[34818]: IKE Packet: transmit success. (Initiator, Main-Mode message 1).
racoon[34818]: >>>>> phase change status = Phase 1 started by us
racoon[34818]: >>>>> phase change status = Phase 1 started by peer
racoon[34818]: IKE Packet: receive success. (Initiator, Main-Mode message 2).
racoon[34818]: IKE Packet: transmit success. (Initiator, Main-Mode message 3).
racoon[34818]: IKE Packet: receive success. (Initiator, Main-Mode message 4).
racoon[34818]: IKE Packet: transmit success. (Initiator, Main-Mode message 5).
racoon[34818]: IKEv1 Phase 1 AUTH: success. (Initiator, Main-Mode Message 6).
racoon[34818]: IKE Packet: receive success. (Initiator, Main-Mode message 6).
racoon[34818]: IKEv1 Phase 1 Initiator: success. (Initiator, Main-Mode).
racoon[34818]: IPSec Phase 1 established (Initiated by me).
racoon[34818]: IKE Packet: receive success. (Information message).
racoon[34818]: IPSec Phase 2 started (Initiated by me).
racoon[34818]: >>>>> phase change status = Phase 2 started
racoon[34818]: IKE Packet: transmit success. (Initiator, Quick-Mode message 1).
racoon[34818]: IKE Packet: receive success. (Initiator, Quick-Mode message 2).
racoon[34818]: IKE Packet: transmit success. (Initiator, Quick-Mode message 3).
racoon[34818]: IKEv1 Phase 2 Initiator: success. (Initiator, Quick-Mode).
racoon[34818]: IPSec Phase 2 established (Initiated by me).
racoon[34818]: >>>>> phase change status = Phase 2 established

А потом примерно через 20 секунд соединение прерывается с таймаутом:
racoon[34818]: IPSec disconnecting from server x.x.x.x
racoon[34818]: IKE Packet: transmit success. (Information message).
racoon[34818]: IKEv1 Information-Notice: transmit success. (Delete IPSEC-SA).
racoon[34818]: IKE Packet: transmit success. (Information message).
racoon[34818]: IKEv1 Information-Notice: transmit success. (Delete ISAKMP-SA).
racoon[34818]: glob found no matches for path "/var/run/racoon/*.conf"
racoon[34818]: pfkey DELETE failed: No such file or directory

Пакеты на UDP/500 и UDP/4500 проходят через фаервол. Полное отключение фаервола не помогает. Если клиент подключается к серверу без NAT — всё работает нормально.

Буду благодарен за советы.
Christophe

pe1chl

Guest

10.05.2016 21:54:00

Я заменил наш Cisco маршрутизатор на MikroTik и столкнулся с той же проблемой… Это баг. Автоматически сгенерированная конфигурация задаёт правило «port strict» для создания политики. Это значит, что для IPsec политики будут указаны конкретные номера портов: 1701 для локального порта и обычно тоже 1701 для удалённого. Но сделано это неправильно. В политике указывается порт уровня NAT-T вместо порта L2TP сессии. В итоге у вас локальный порт 1701, а удалённый — какой-то другой номер. Однако, если посмотреть на пакетный снимок, становится ясно, что удалённый порт для L2TP трафика — 1701. Я обошёл эту проблему, убрав «Use IPsec» на L2TP сервере и создав IPsec Peer вручную, с адресом ::/0, портом 500, аутентификацией pre-shared-key, секретом, и с настройкой Generate Policy, установленной в «port override».

fstop83

Guest

30.09.2016 12:35:00

Привет, столкнулся с такой же проблемой, когда пытался подключить свой iMac к L2tp/ipsec VPN. Он не подключается, если в настройках Generate Policy стоит «Port Strict», но подключается, когда ставишь «Port Override». Я в этом деле еще новичок, поэтому хотел узнать — есть ли какие-то минусы или проблемы с безопасностью, если выбрать «Port Override»? Большое спасибо!

pe1chl

Guest

30.09.2016 13:14:00

На самом деле это не проблема безопасности. Недостатки: можно подключить только один L2TP VPN с одного публичного IP (это может стать проблемой, если вы пользуетесь 4G-интернетом и у нескольких пользователей у одного провайдера, который использует NAT, одинаковый публичный IP). Когда вы создаёте UDP-трафик с одного и того же публичного IP к одному и тому же роутеру, он идёт по одному и тому же IPsec VPN. Это может запутать или вызвать сбой в работе. В «обычном сценарии» с одним клиентом, который использует только VPN и не обращается к другим устройствам на том же IP (проброшенным портам на том же роутере), всё работает нормально.

fstop83 Guest	#5 0 30.09.2016 16:41:00 Отлично, пользоваться будет всего один человек одновременно, так что меня это устраивает. Спасибо за помощь!

craigreilly Guest	#6 0 03.10.2016 17:42:00 Если не использовать «port override», как тогда обеспечить подключение нескольких пользователей с одного удалённого адреса к VPN l2TP через IPsec?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры