L2TP/IPsec сервер

[stefbarinov]

6 часов назад, a991 сказал:

Не получается подключиться к серверу на Кинетике L2TP с другого роутера Микротик

KN-1010 сервер, CCR-1009 - клиент, всё прекрасно работает. Жаль нельзя скрины приложить.

[Le ecureuil]

10 часов назад, a991 сказал:

Добрый день! 

О чем говорит ошибка в логах: 

14[IKE] no matching proposal found, sending NO_PROPOSAL_CHOSEN

Фев 11 00:40:38

ipsec

09[IKE] received retransmit of request with ID 3516348324, but no response to retransmit

Фев 11 00:40:48

ipsec

11[IKE] integrity check failed

Фев 11 00:40:48

ipsec

11[IKE] QUICK_MODE request with message ID 3516348324 processing failed

Фев 11 00:40:48

ndm

IpSec::Configurator: "VPNL2TPServer": IKE message parsing error (possibly wrong pre-shared key).

 

Не получается подключиться к серверу на Кинетике L2TP с другого роутера Микротик. Для клиента пробросил порты DMZ. Спасибо. 

Может быть ну куча причин.

Сперва стоит проверить на версии 4.3 и приложить self-test в момент проблем.

[witall]

Доброго времени суток. Подскажите что делаю неправильно.

Имеется кинетик-1 с белым IP на котором стоит L2TP/IPsec сервер - 192.168.10.1. К серверу подключен Кинетик-2 в качестве vpn-клиента 192.168.5.1.  К Кинетик-1 подключаются другие vpn-клиенты(телефоны, планшеты), которые не могут получить доступ к Кинетику-2. В Диагностика\активные соединения Кинетик-2 видны обращения к нему, но ответа нет по любым портам, кроме ICMP. Также в сети Кинетик-2 есть Кинетик-3 (аналогичная проблема, есть обращения но нет ответа, хотя знаю что там есть проги с открытыми портами 80, 443, 222 и др.)

Кинетик-1 - пользовательский маршрут - 192.168.5.0/24 шлюз 172.16.2.33 интерфейс любой. 

Кинетик-2 пользовательский маршрут - 192.168.10.0/24 шлюз 172.16.2.33 (пробовал и без него- результат такой же)

   Межсетевой экран на интерфейсе vpn разрешает TCP, UDP, ICMP

Знаю, что исходящие правила можно настроить только через CLI, но раз трафик появляется на входе Кинетик-2 и Кинетик-3 значит с настройкой Кинетик-1 все нормально..??..

[zz1666]

Прошу подсказать в чем может быть причина:

Есть на руках (на работе) Orbiter Pro (KN-2810) EAEU, решил потестить l2tp, правила фаервола и т.п. перед покупкой себе домой либо микротика, либо кинетика.

На данный момент стоит микротик hap lite, который не выдерживает возложенную на него нагрузку... Изначально склонялся к HAP ax3, но там мало гарантии и горячий он, плюс wifi хуже, чем в KN-1012, который рассматриваю как альтернативу.

В общем в попытках поиграться с сервером l2tp ситуация такая: подключается только Win7, а win10/11 подключается примерно на долю секунды и сразу рвут соединение, либо не подключаются совершенно с ошибкой "произошла ошибка на уровне согласования безопасности". Докучи заметил, что выданный адрес внутри l2tp туннеля (на win7) с маской 255.255.255.255, т.е. между клиентами (если хоть ещё одного получится добавить) маршрутизации не будет? На текущем микротике хожу и с внешнего адреса и внутри сетей хоть vpn хоть домашней...

[bud]

Здравствуйте. Подскажите куда копать, уже не знаю на что думать...

Перехожу с роутера Asus на Giga (KN-1011), белый статический ip, надо обеспечить доступ к сети нескольких удаленных пользователей на windows. Пробую L2tp server и IKE2 server + штатный клиент Win10, безуспешно оба, хотя вроде бы все элементарно. Установил компоненты соответствующие, настроил по help keenetic, однако клиент не подключается, в журнале нет вообще никаких записей о попытке подключения.

Настройка провайдера требует указывать "серый" статический ip на wan, далее он превращается в "белый" уже на стороне провайдера. ip действительно белый - на Асус нормально работал OpenVPN, на кинетике пока что добился того, что через KeenDNS пингую giga снаружи по доменному имени и могу открыть админку (режим KeenDNS - прямой, согласно требованию IKEv2). Да и перед этим пробовал для теста ставить Кинетик за асусом и точно также не мог подключится "снаружи", т.е. из основной домашней сети на wan ip кинетика. Клиент l2tp на win10 точно рабочий, в нем создано и работает более 10 других l2tp подключений, но к Кинетику не хочет подключаться напрочь. Может еще что-то нужно включить, правила в сетевом экране например? Ping снаружи у меня заработал только при добавлении правила межсетевого экрана. Пытался таким же образом добавить правила для l2tp или IKEv2 - пока безуспешно. И в статьях по настройке L2tp или IKEv2 ничего про это нет.

[bud]

Добавлю, что приложение Advanced Port Scanner показывает мне сейчас на WAN порту открытые только порты 80 и 443 (после установки "разрешить доступ из интернета" в настройках KeenDNS), т.е. как будто L2tp или IKEv2 запущены, но доступ снаружи закрыт. Как такое может быть? Пытался в межсетевом экране по аналогии с ICMP (после которого заработал ping на WAN) открыть UDP порты 1701/500/4500, это ничего не дало. На скриншоте - текущие правила межсетевого экрана, ip=10.208.188.61 это мой статический ip у провайдера, "снаружи" ему назначен уже настоящий белый ip

[mrGhotius]

1 час назад, bud сказал:

На скриншоте - текущие правила межсетевого экрана, ip=10.208.188.61 это мой статический ip у провайдера, "снаружи" ему назначен уже настоящий белый ip

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/15882-keendns-service.html?utm_source=webhelp&utm_campaign=4.03.C.1.0-1&utm_medium=ui_notes&utm_content=controlpanel/remoteaccess

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/19398-what-is-the-difference-between-a-public-and-private-ip-address-.html

При запуске L2TP/IPSec сервера никаких разрешающих правил дополнительно создавать не нужно. Думаю, что проблема в том, что KeenDNS считает ваш ip-адрес серым, коим он и является по факту  Раз уж ваш провайдер транслирует вам адрес 1 к 1, пробовали подключатся не по имени, а по адресу?

Изменено 1 час назад пользователем mrGhotius

[bud]

21 минуту назад, mrGhotius сказал:

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/15882-keendns-service.html?utm_source=webhelp&utm_campaign=4.03.C.1.0-1&utm_medium=ui_notes&utm_content=controlpanel/remoteaccess

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/19398-what-is-the-difference-between-a-public-and-private-ip-address-.html

При запуске L2TP/IPSec сервера никаких разрешающих правил дополнительно создавать не нужно. Думаю, что проблема в том, что KeenDNS считает ваш ip-адрес серым, коим он и является по факту  Раз уж ваш провайдер транслирует вам адрес 1 к 1, пробовали подключатся не по имени, а по адресу?

Я первоначально никаких разрешающих правил и не создавал, это было уже от отчаяния. Изначально пробовал обращаться именно по ip адресу внешнему, а перед этим - для теста ставил Кинетик внутри сети, за другим роутером, соответственно на WAN порту Кинетика - LAN ip основной сети, поднимал l2tp и пытался подключится к нему из основного lan, также безуспешно.

KeenDNS я зарегистрировал, он нормально резолвится в мой внешний ip адрес и теперь могу по имени пинговать wan кинетика и открывать на нем админку снаружи. Так же у меня заработал OpenConnect VPN, но клиентам он не нравится, хочется классического l2tp или IKEv2 например.

Если не работает потому, что на WAN порту настроен серый ip, то как тогда l2tp работает за NAT + проброс портов с вышестоящего роутера? Ведь тогда тоже на wan порту кинетика будет "серый" ip?

Сейчас достал из коробки еще один Кинетик (Sprinter kn-3710), сделал первичную настройку, добавил l2tp server и поставил его также внутри сети, за гигой. Пытаюсь подключится из своего lan на wan порт Спринтера, все тоже самое, полная тишина в ответ... Как же быть?

[mrGhotius]

5 минут назад, bud сказал:

Как же быть?

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/19089-l2tp-ipsec-vpn-server.html#19089-vpn-сервер-l2tp-ipsec

Цитата

 

Важно

Интернет-центр Keenetic, на котором будет работать VPN-сервер L2TP/IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

 

Запросить у провайдера "реальный" белый IP-адрес