+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

l2TP, IP SEC, IKEv1 и IKEv2: подробности и дополнительная информация

l2TP, IP SEC, IKEv1 и IKEv2: подробности и дополнительная информация, RouterOS

icko81

Guest

13.01.2018 18:54:00

Привет, ребята! Мы обожаем продукцию Mikrotik — она даёт нам идеальное управление сетью и возможность применять множество правил, в отличие от дорогих устройств типа Cyberoam UTM router или Fortinet. Очень стабильное ядро и качество производства на уровне BSD Unix, плюс долгие годы на рынке. Мы успешно настроили все перечисленные VPN-протоколы на роутере RB2011: SSTP, PPTP, OVPN и L2/IPSEC с предварительно установленным ключом — всё работает на 100%, проблем нет.

Единственная проблема — NAT-трансляция у L2TP/IPSEC, это серьёзная проблема для «полевых» пользователей в одной подсети. С Pure IPSEC были трудности из-за ограничений протокола уровня 2. Мы ничего не понимаем в использовании RSA ключей и подписей, и на WIKI нет чётких инструкций, где и как их применять без лишних заморочек и примеров сценариев.

Пожалуйста, проясните все эти моменты, отвечая на мои вопросы:
Вопрос 1: Нет подробных объяснений, где лучше всего использовать PURE IPSEC. Так вот, вопрос — только между роутерами он работает или может использоваться на мобильных устройствах? Приведите примеры сценариев.
Вопрос 2: Есть ли у IKEv1 ограничение NAT между одинаковыми публичными IP? Стоит ли его применять для «полевых» пользователей на мобильных устройствах типа Android или лучше IKEv2?
Вопрос 3: Может ли Mikrotik реализовать IPSEC соединение с Cisco на iPhone или Android с использованием подписного сертификата по Cisco-схеме? Пример, пожалуйста, именно pure IPsec.
Вопрос 4: Основной и агрессивный режим пира IKEv1 — у него есть ограничения по NAT-трансляции или он работает лучше, чем L2TP IPSEC? Как IKEv1 ведёт себя на Windows 10?
Вопрос 5: Работает ли RSA ключ фаза 2 только между двумя ROS роутерами или можно смешивать с Cisco роутерами и где ещё — например, Windows, Android, iOS? Нашёл один русский сайт с примером site-to-site для RSA ключа на роутерах, расскажите, где можно найти такую информацию.
Вопрос 6: Какие VPN-протоколы из поддерживаемых Mikrotik работают с EAP, или нужно обязательно использовать radius-сервер, то есть пересылать аутентификацию туда, или можно pure XAUTH на устройствах Mikrotik?

Я настроил IKEv2 на своём Android, но возникли проблемы с маршрутизацией — помогите, пожалуйста. И как это работает на Windows?

P.S. Настроил маршруты через chain=forward, input Ipsec pool адреса и output адреса, используя два динамических IP за NAT, но качество VoIP SIP ужасное. К тому же невозможно подключить несколько сессий с разных IP — при подключении второго IP первый отваливается. Вопрос: нужно ли создавать больше пиров или разрешать несколько сессий?

Вот и всё, IPSEC — это огромный набор протоколов, и этого достаточно, чтобы помочь мне с настройкой.

Спасибо, Ицко!

Filament

Guest

24.01.2020 11:42:00

Извиняюсь, что поднимаю старую тему, но я уже несколько часов ищу и не могу найти точной информации по этому вопросу. Вопрос очень простой: возможно ли настроить Mikrotik как VPN-сервер с одновременным включением и L2TP/IPSec, и IKEv1? Все удалённые клиенты — это «дорогие вояки», использующие штатный клиент своей операционной системы. Android-телефоны и iPhone будут подключаться через IKEv1 с PSK и XAUTH. Ноутбуки на Windows 10 — через L2TP/IPSec с PSK. Категорически НЕЛЬЗЯ использовать сертификаты. Всё должно работать только через PreSharedKey и логины/пароли. Это вообще реально или нет? У меня включен L2TP-сервер, но когда пытаюсь добавить ещё одного IPsec peer, вылетает ошибка «This entry is unreachable». Как можно слушать двух разных peers (оба отправляют INITIAL_CONTACT) одновременно на 0.0.0.0/0? Заранее спасибо.

pe1chl

Guest

24.01.2020 14:24:00

Да, вполне возможно настроить MikroTik как сервер L2TP/IPsec VPN с общим секретом. Я не совсем понимаю, что вы имеете в виду под «одновременным включением и L2TP/IPSec, и IKEv1», предполагаю, что вы хотите запустить L2TP/IPsec с IKE v1. (с IKEv2 обычно не используют L2TP поверх него). Можно настроить IPsec peer и identity для удалённого адреса ::/0, и это будет использоваться для L2TP/IPsec, при этом не нужно дополнительно настраивать это в сервере L2TP (просто укажите там «Использовать IPsec: нет»). Однако есть одна проблема.

Я долгое время использовал такую настройку с роутерами MikroTik, телефонами на Android и Chromebook — всё работало нормально. Но случайно сегодня попробовал подключиться с ноутбука на Windows 10 — не получилось.

Для отладки попробовал на старом ноутбуке с Windows XP — тоже не работает. Вроде бы типичная проблема с IPsec: при попытке подключения ничего не происходит, а позже выводится сообщение, намекающее на проблему с конфигурацией, но без подробностей. Сейчас на стороне сервера (MikroTik роутер) у меня такие настройки:

/ip ipsec peer
add comment="Incoming L2TP/IPsec" name=l2tp passive=yes

/ip ipsec identity
add generate-policy=port-override peer=l2tp secret=(your secret psk here)

То есть все настройки шифрования стоят по умолчанию. Это нормально работает с Android и Chromebook (и, само собой, с MikroTik), и, по моему опыту, добавление новых фишек вроде sha256 в phase1 Proposals ломает всё.

На данный момент я не уверен, будет ли эта конфигурация вообще работать с Windows, и если нет — что минимум нужно изменить, чтобы заработало, но без ущерба остальным клиентам.

Экспериментировать на основном роутере рискованно, так как у нас постоянно работают несколько VPN, и даже минимальные изменения могут их перезапустить, а иногда и вовсе не дать им восстановиться. Поэтому буду рад, если кто-то поделится деталями. Если нет — придётся отлаживать на запасном роутере.

sindy

Guest

24.01.2020 16:24:00

На всякий случай, если это не было ясно из поста pe1chl — вам не нужны два пира, если одни роад-ворьеры должны использовать «barebone IKE(v1)», а другие — «L2TP over IKE(v1)», потому что один широко открытый пир с exchange-mode=main будет использоваться для обоих. Что касается сообщения об ошибке, запись недоступна, потому что по всем параметрам, которые можно оценить — (удалённый) адрес, локальный адрес и тип обмена обоих элементов совпадают, поэтому первая запись перекрывает вторую. Если хотите несколько пиров, например, помимо роад-ворьеров, у вас есть какие-то роутеры на удалённых сайтах, которые поддерживают только IKE(v1), то вы можете разместить их записи с узкими подсетями в качестве адреса перед записью с адресом=0.0.0.0/0 (или ::/0), и они будут подходить. Но при этом роад-ворьеры не смогут подключаться с этих сайтов.

pe1chl Guest	#5 0 24.01.2020 16:52:00 Синди: случайно не знаешь, какие настройки IPsec подходят для Windows или как настроить Windows так, чтобы он принимал стандартные настройки MikroTik? Пока не смогла запустить это.

Filament

Guest

24.01.2020 17:19:00

pe1chl, у меня есть доступ к Mikrotik (он в эксплуатации, но в эти выходные не будет использоваться. И у меня также есть доступ к компьютеру в той же подсети через AnyDesk, так что я могу даже сбросить его настройки, если нужно). Этот Mikrotik (RB750) работает на стабильной прошивке v6.46.2. Сейчас он настроен с дефолтной конфигурацией L2TP/IPSec:

/interface l2tp-server server
set authentication=chap default-profile=perfil1 enabled=yes ipsec-secret=blablabla use-ipsec=required

/ppp secret
add name=user1 password=blaablabla profile=perfil1 service=l2tp

Как добавить ещё одного IPSec-ответчика для 0.0.0.0/0 и при этом не создать конфликт с уже работающим? Все удалённые пользователи будут подключаться с неизвестных IP-адресов!

pe1chl

Guest

24.01.2020 17:26:00

Поясните, что вы имеете в виду под «добавить другого IPSec-ответчика»... L2TP/IPsec использует имена пользователей. Если хотите разрешить доступ еще одному клиенту, просто добавьте имя пользователя и пароль через PPP->Secrets. Или вы говорите о чем-то другом?

Filament

Guest

24.01.2020 17:35:00

Извините, у меня нет глубоких знаний об IPSec, возможно, я использую неправильные термины! Я думал, что могу использовать один PreSharedKey для всех Android/iPhone бойцов (они будут использовать IPSec IKEv1 PSK XAUTH), а другой PSK — для Windows бойцов (они будут использовать L2TP/IPSec). Это правильно? Или у всех должен быть один и тот же PSK?

pe1chl

Guest

24.01.2020 17:50:00

Им всем нужно использовать один и тот же PSK, если только вы не найдёте какой-то селектор, который позволит выбрать правильную запись peer+identity. Когда удалённый адрес ::/0, можно использовать локальный адрес, если у вас несколько публичных IP. Если же у вас только один публичный IP, то, насколько я понимаю, иметь больше одного PSK невозможно.

Вы не можете назначить больше одной identity для одного peer и не можете иметь несколько peers с одним и тем же селектором.

Filament

Guest

#10

24.01.2020 20:06:00

Ох, черт! Значит, я не смогу сделать то, что хотел, потому что у меня только один публичный IPv4-адрес. Согласно официальной документации Mikrotik, клиентам Windows L2TP/IPSec нужно установить “auth-method” примерно так: /ip ipsec peer add auth-method=pre-shared-key … А вот Android-телефонам с IKEv1-XAUTH-PSK нужно что-то вроде: /ip ipsec peer add auth-method=pre-shared-key-xauth … Я правильно понимаю, что с одним публичным IP-адресом нельзя одновременно использовать оба метода аутентификации?

pe1chl

Guest

#11

24.01.2020 20:59:00

Телефоны на Android могут использовать L2TP/IPsec с именем пользователя и паролем на уровне L2TP, без XAUTH на уровне IPsec. То же самое, что делает Windows. Но, конечно, нужно будет перенастроить телефоны. У меня это работает на Android, а вот на Windows пока нет — почему не знаю, нужно дальше разбираться на следующей неделе (это связано с работой).

Filament

Guest

#12

25.01.2020 18:35:00

Думаю, я собираюсь настроить IPSec IKEv1 с PSK и XAUTH. Решение принято. Этот парень меня наконец-то убедил: https://www.youtube.com/watch?v=QlkIbx0Jpoo L2TP/IPSec требует сложных скриптов на Mikrotik, когда несколько пользователей используют один и тот же публичный IP (признаю, что скрипт от Sindy для решения этой проблемы впечатляет, но всё равно это скорее «костыль», а не официальный код Mikrotik). Ненавижу, что Windows по умолчанию не поддерживает IKEv1 с PSK и XAUTH, но, похоже, клиент Shrew VPN решает эту проблему без особых заморочек. Спасибо за всю информацию! С уважением.

Filament

Guest

#13

21.02.2021 02:03:00

Извиняюсь, что снова беспокою, но вы уверены, что невозможно иметь более одной идентичности для одного пира? Я проверял эту конфигурацию на последней стабильной версии (6.48.1), и, похоже, всё работает!

/ip ipsec policy group add name=group1
/ip ipsec peer add name=peer1 passive=yes send-initial-contact=no
/ip ipsec proposal add enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=8h name=proposal1 pfs-group=none
/ip pool add name=vpn-pool1 ranges=192.168.89.150-192.168.89.199
/ip ipsec mode-config add address-pool=vpn-pool1 address-prefix-length=32 name=cfg1 split-include=192.168.88.0/24
/ip ipsec identity add auth-method=pre-shared-key-xauth generate-policy=port-strict mode-config=cfg1 password=blablabla peer=peer1 policy-template-group=group1 secret=blablapsk username=xuser1
/ip ipsec identity add auth-method=pre-shared-key generate-policy=port-strict peer=peer1 secret=blablapsk
/ip ipsec policy add dst-address=192.168.89.0/24 group=group1 proposal=proposal1 src-address=0.0.0.0/0 template=yes

/ppp secret add local-address=172.16.1.1 name=l2tpuser1 password=blablabla profile=default-encryption remote-address=172.16.1.2 service=l2tp

/interface l2tp-server server set enabled=yes

"Дальнобойщики" могут подключаться с помощью родного L2TP/IPSec, который входит в Windows, а также с клиентом Greenbow VPN (через IKEv1 XAUTH). Всё вроде работает нормально. Но должен признаться, что при создании второй IPSec идентичности в Winbox выскочила ошибка, я её проигнорировал, и, похоже, система приняла. Как думаете, могут ли из-за этого возникнуть проблемы в будущем?

Filament

Guest

#14

21.02.2021 02:14:00

Я заметил ОЧЕНЬ РАЗДРАЖАЮЩУЮ проблему с клиентом Greenbow VPN и другими, например Forticlient VPN. Эти программы обычно отключают две важные службы Windows (IKEEXT и PolicyAgent), из-за чего невозможно подключиться через встроенный клиент Microsoft L2TP. Решение, которое я нашёл — закрыть Greenbow или Forticlient, а потом запустить эти службы через командную строку: sc start IKEEXT sc start PolicyAgent И теперь можно использовать встроенный клиент L2TP/IPsec в Windows.

pe1chl Guest	#15 0 21.02.2021 09:53:00 То, что я написал, было правдой в то время, но с тех пор в RouterOS были внесены изменения, и теперь возможно иметь несколько идентификаторов для одного и того же пира.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры