L2TP/IPsec сервер

[Nicko McBrain]

6 часов назад, a991 сказал:

Не получается подключиться к серверу на Кинетике L2TP с другого роутера Микротик

KN-1010 сервер, CCR-1009 - клиент, всё прекрасно работает. Жаль нельзя скрины приложить.

[Le ecureuil]

10 часов назад, a991 сказал:

Добрый день! 

О чем говорит ошибка в логах: 

14[IKE] no matching proposal found, sending NO_PROPOSAL_CHOSEN

Фев 11 00:40:38

ipsec

09[IKE] received retransmit of request with ID 3516348324, but no response to retransmit

Фев 11 00:40:48

ipsec

11[IKE] integrity check failed

Фев 11 00:40:48

ipsec

11[IKE] QUICK_MODE request with message ID 3516348324 processing failed

Фев 11 00:40:48

ndm

IpSec::Configurator: "VPNL2TPServer": IKE message parsing error (possibly wrong pre-shared key).

 

Не получается подключиться к серверу на Кинетике L2TP с другого роутера Микротик. Для клиента пробросил порты DMZ. Спасибо. 

Может быть ну куча причин.

Сперва стоит проверить на версии 4.3 и приложить self-test в момент проблем.

[witall]

Доброго времени суток. Подскажите что делаю неправильно.

Имеется кинетик-1 с белым IP на котором стоит L2TP/IPsec сервер - 192.168.10.1. К серверу подключен Кинетик-2 в качестве vpn-клиента 192.168.5.1.  К Кинетик-1 подключаются другие vpn-клиенты(телефоны, планшеты), которые не могут получить доступ к Кинетику-2. В Диагностика\активные соединения Кинетик-2 видны обращения к нему, но ответа нет по любым портам, кроме ICMP. Также в сети Кинетик-2 есть Кинетик-3 (аналогичная проблема, есть обращения но нет ответа, хотя знаю что там есть проги с открытыми портами 80, 443, 222 и др.)

Кинетик-1 - пользовательский маршрут - 192.168.5.0/24 шлюз 172.16.2.33 интерфейс любой. 

Кинетик-2 пользовательский маршрут - 192.168.10.0/24 шлюз 172.16.2.33 (пробовал и без него- результат такой же)

   Межсетевой экран на интерфейсе vpn разрешает TCP, UDP, ICMP

Знаю, что исходящие правила можно настроить только через CLI, но раз трафик появляется на входе Кинетик-2 и Кинетик-3 значит с настройкой Кинетик-1 все нормально..??..

[zz1666]

Прошу подсказать в чем может быть причина:

Есть на руках (на работе) Orbiter Pro (KN-2810) EAEU, решил потестить l2tp, правила фаервола и т.п. перед покупкой себе домой либо микротика, либо кинетика.

На данный момент стоит микротик hap lite, который не выдерживает возложенную на него нагрузку... Изначально склонялся к HAP ax3, но там мало гарантии и горячий он, плюс wifi хуже, чем в KN-1012, который рассматриваю как альтернативу.

В общем в попытках поиграться с сервером l2tp ситуация такая: подключается только Win7, а win10/11 подключается примерно на долю секунды и сразу рвут соединение, либо не подключаются совершенно с ошибкой "произошла ошибка на уровне согласования безопасности". Докучи заметил, что выданный адрес внутри l2tp туннеля (на win7) с маской 255.255.255.255, т.е. между клиентами (если хоть ещё одного получится добавить) маршрутизации не будет? На текущем микротике хожу и с внешнего адреса и внутри сетей хоть vpn хоть домашней...

 

UPD Микротик победил, кинетик разочаровал...

Edited May 19, 2025 by zz1666
добавлен upd

[bud]

Здравствуйте. Подскажите куда копать, уже не знаю на что думать...

Перехожу с роутера Asus на Giga (KN-1011), белый статический ip, надо обеспечить доступ к сети нескольких удаленных пользователей на windows. Пробую L2tp server и IKE2 server + штатный клиент Win10, безуспешно оба, хотя вроде бы все элементарно. Установил компоненты соответствующие, настроил по help keenetic, однако клиент не подключается, в журнале нет вообще никаких записей о попытке подключения.

Настройка провайдера требует указывать "серый" статический ip на wan, далее он превращается в "белый" уже на стороне провайдера. ip действительно белый - на Асус нормально работал OpenVPN, на кинетике пока что добился того, что через KeenDNS пингую giga снаружи по доменному имени и могу открыть админку (режим KeenDNS - прямой, согласно требованию IKEv2). Да и перед этим пробовал для теста ставить Кинетик за асусом и точно также не мог подключится "снаружи", т.е. из основной домашней сети на wan ip кинетика. Клиент l2tp на win10 точно рабочий, в нем создано и работает более 10 других l2tp подключений, но к Кинетику не хочет подключаться напрочь. Может еще что-то нужно включить, правила в сетевом экране например? Ping снаружи у меня заработал только при добавлении правила межсетевого экрана. Пытался таким же образом добавить правила для l2tp или IKEv2 - пока безуспешно. И в статьях по настройке L2tp или IKEv2 ничего про это нет.

[bud]

Добавлю, что приложение Advanced Port Scanner показывает мне сейчас на WAN порту открытые только порты 80 и 443 (после установки "разрешить доступ из интернета" в настройках KeenDNS), т.е. как будто L2tp или IKEv2 запущены, но доступ снаружи закрыт. Как такое может быть? Пытался в межсетевом экране по аналогии с ICMP (после которого заработал ping на WAN) открыть UDP порты 1701/500/4500, это ничего не дало. На скриншоте - текущие правила межсетевого экрана, ip=10.208.188.61 это мой статический ip у провайдера, "снаружи" ему назначен уже настоящий белый ip

[mrGhotius]

1 час назад, bud сказал:

На скриншоте - текущие правила межсетевого экрана, ip=10.208.188.61 это мой статический ip у провайдера, "снаружи" ему назначен уже настоящий белый ip

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/15882-keendns-service.html?utm_source=webhelp&utm_campaign=4.03.C.1.0-1&utm_medium=ui_notes&utm_content=controlpanel/remoteaccess

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/19398-what-is-the-difference-between-a-public-and-private-ip-address-.html

При запуске L2TP/IPSec сервера никаких разрешающих правил дополнительно создавать не нужно. Думаю, что проблема в том, что KeenDNS считает ваш ip-адрес серым, коим он и является по факту  Раз уж ваш провайдер транслирует вам адрес 1 к 1, пробовали подключатся не по имени, а по адресу?

Edited May 18, 2025 by mrGhotius

[bud]

21 минуту назад, mrGhotius сказал:

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/15882-keendns-service.html?utm_source=webhelp&utm_campaign=4.03.C.1.0-1&utm_medium=ui_notes&utm_content=controlpanel/remoteaccess

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/19398-what-is-the-difference-between-a-public-and-private-ip-address-.html

При запуске L2TP/IPSec сервера никаких разрешающих правил дополнительно создавать не нужно. Думаю, что проблема в том, что KeenDNS считает ваш ip-адрес серым, коим он и является по факту  Раз уж ваш провайдер транслирует вам адрес 1 к 1, пробовали подключатся не по имени, а по адресу?

Я первоначально никаких разрешающих правил и не создавал, это было уже от отчаяния. Изначально пробовал обращаться именно по ip адресу внешнему, а перед этим - для теста ставил Кинетик внутри сети, за другим роутером, соответственно на WAN порту Кинетика - LAN ip основной сети, поднимал l2tp и пытался подключится к нему из основного lan, также безуспешно.

KeenDNS я зарегистрировал, он нормально резолвится в мой внешний ip адрес и теперь могу по имени пинговать wan кинетика и открывать на нем админку снаружи. Так же у меня заработал OpenConnect VPN, но клиентам он не нравится, хочется классического l2tp или IKEv2 например.

Если не работает потому, что на WAN порту настроен серый ip, то как тогда l2tp работает за NAT + проброс портов с вышестоящего роутера? Ведь тогда тоже на wan порту кинетика будет "серый" ip?

Сейчас достал из коробки еще один Кинетик (Sprinter kn-3710), сделал первичную настройку, добавил l2tp server и поставил его также внутри сети, за гигой. Пытаюсь подключится из своего lan на wan порт Спринтера, все тоже самое, полная тишина в ответ... Как же быть?

[mrGhotius]

5 минут назад, bud сказал:

Как же быть?

https://support.keenetic.ru/eaeu/giga/kn-1011/ru/19089-l2tp-ipsec-vpn-server.html#19089-vpn-сервер-l2tp-ipsec

Цитата

 

Важно

Интернет-центр Keenetic, на котором будет работать VPN-сервер L2TP/IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

 

Запросить у провайдера "реальный" белый IP-адрес

[Le ecureuil]

В 16.05.2025 в 13:44, zz1666 сказал:

Прошу подсказать в чем может быть причина:

Есть на руках (на работе) Orbiter Pro (KN-2810) EAEU, решил потестить l2tp, правила фаервола и т.п. перед покупкой себе домой либо микротика, либо кинетика.

На данный момент стоит микротик hap lite, который не выдерживает возложенную на него нагрузку... Изначально склонялся к HAP ax3, но там мало гарантии и горячий он, плюс wifi хуже, чем в KN-1012, который рассматриваю как альтернативу.

В общем в попытках поиграться с сервером l2tp ситуация такая: подключается только Win7, а win10/11 подключается примерно на долю секунды и сразу рвут соединение, либо не подключаются совершенно с ошибкой "произошла ошибка на уровне согласования безопасности". Докучи заметил, что выданный адрес внутри l2tp туннеля (на win7) с маской 255.255.255.255, т.е. между клиентами (если хоть ещё одного получится добавить) маршрутизации не будет? На текущем микротике хожу и с внешнего адреса и внутри сетей хоть vpn хоть домашней...

 

UPD Микротик победил, кинетик разочаровал...

Без какой либо фактуры в виде хотя бы self-test с логами это все белый шум.

[Le ecureuil]

11 часов назад, bud сказал:

Как же быть?

Показать self-test в моменты подключения клиентов. Или вы думаете мы тут умеем гадать на стеклянном шаре?

[Alex_z]

Добрый всем день.
Прошу помочь решить проблему.
Роутер Giga (KN-1011) EAEU Версия ОС 4.3.1.
Было настроено и работало 22 IPsec VPN подключений, через какое-то время 6 подключений отвалилось. При попытке сделать изменение в соединении выходила ошибка too many objects groups
Сейчас работает только 16, при добавлении любого нового IPsec VPN подключения - ошибка too many objects groups.

Написал в тех. поддержку Keenetic, вот их ответ

Цитата

32 инетрфейса создать можете, но это не = что будет столько же политик. Политик можно создать 64, но если хватит памяти. У Вас с большей долей вероятности она заканчивается. И именно та которая выделена под конфигурацию. В self-test можно посмотреть ошибки

Прошу подсказать как посмотреть наличие памяти под конфигурации, ну и как можно ее почистить?

В самом роутере памяти занято 20%

Edited May 20, 2025 by Alex_z

[Le ecureuil]

В 20.05.2025 в 14:57, Alex_z сказал:

Добрый всем день.
Прошу помочь решить проблему.
Роутер Giga (KN-1011) EAEU Версия ОС 4.3.1.
Было настроено и работало 22 IPsec VPN подключений, через какое-то время 6 подключений отвалилось. При попытке сделать изменение в соединении выходила ошибка too many objects groups
Сейчас работает только 16, при добавлении любого нового IPsec VPN подключения - ошибка too many objects groups.

Написал в тех. поддержку Keenetic, вот их ответ

Прошу подсказать как посмотреть наличие памяти под конфигурации, ну и как можно ее почистить?

В самом роутере памяти занято 20%

А на какой версии работало 22 подключения?

[Alex_z]

1 час назад, Le ecureuil сказал:

А на какой версии работало 22 подключения?

Вот точную версию не скажу, могу сказать точную дату 25.12.2024. И обычно, как выходит обновление я всегда обновляю.

[Le ecureuil]

16 часов назад, Alex_z сказал:

Вот точную версию не скажу, могу сказать точную дату 25.12.2024. И обычно, как выходит обновление я всегда обновляю.

В версии 4.03 лимит будет поднят до 64 соединений, спасибо за репорт.

[Alex_z]

В 22.05.2025 в 10:16, Le ecureuil сказал:

В версии 4.03 лимит будет поднят до 64 соединений, спасибо за репорт.

Добрый день.
Обновил роутер до версии ОС 4.3.2.
Обновление результата не принесло. Все так, же 16 подключений делается, при добавлении 17 выходит в ошибку  too many objects groups.

Написал в тех поддержку, ответили что Возможно проблема веба а не системы. 

Решил проверить другие роутеры, мало нагруженные и с минимальными правилами, (Giga (KN-1011) и Giga (KN-1010) на всех версия ОС 4.3.2) результат аналогичный 16 соединений дает сделать на 17 ошибка.

Прошу подсказать, есть ли возможность добавить в это роутер через CLI IPsec подключение, может проблема решится. 

...хотя вряд ли это поможет, на первом роутере на котором слетели подключения никто и ничего не добавлял, просто прошло обновление.

Есть ли шанс восстановить как-то работу подключений?

Заранее спасибо за ответ!

[Le ecureuil]

1 час назад, Alex_z сказал:

Добрый день.
Обновил роутер до версии ОС 4.3.2.
Обновление результата не принесло. Все так, же 16 подключений делается, при добавлении 17 выходит в ошибку  too many objects groups.

Написал в тех поддержку, ответили что Возможно проблема веба а не системы. 

Решил проверить другие роутеры, мало нагруженные и с минимальными правилами, (Giga (KN-1011) и Giga (KN-1010) на всех версия ОС 4.3.2) результат аналогичный 16 соединений дает сделать на 17 ошибка.

Прошу подсказать, есть ли возможность добавить в это роутер через CLI IPsec подключение, может проблема решится. 

...хотя вряд ли это поможет, на первом роутере на котором слетели подключения никто и ничего не добавлял, просто прошло обновление.

Есть ли шанс восстановить как-то работу подключений?

Заранее спасибо за ответ!

Исправление будет только в 4.3.3, в 4.3.2 оно еще не попало.

[Alex_z]

3 минуты назад, Le ecureuil сказал:

Исправление будет только в 4.3.3, в 4.3.2 оно еще не попало.

Спасибо за информацию, ожидаю с нетерпением 😄

[Pavlin]

После обнавления до 4.3.2  перестал пускать с мобилы по IKEv2/IPsec. 

[I] Jun  9 13:16:17 ndm: Radius::Eap::MsChapV2: EAP challenge identity is "VPN". 
[E] Jun  9 13:16:17 ndm: Radius::Eap::MsChapV2: wrong identity "VPN" (expected "12345"). 
[I] Jun  9 13:16:17 ipsec: 07[IKE] RADIUS authentication of '12345' failed 
[I] Jun  9 13:16:17 ipsec: 07[IKE] EAP method EAP_MSCHAPV2 failed for peer 12345

на 4.3.3 тоже самое.  Опять все откатывать на4.2? 

[Alex_z]

В 03.06.2025 в 15:36, Le ecureuil сказал:

Исправление будет только в 4.3.3, в 4.3.2 оно еще не попало.

Сегодня обновился на 4.3.3., все встало на свои места. 22 туннеля работают.
Спасибо!

[Le ecureuil]

3 часа назад, Pavlin сказал:

После обнавления до 4.3.2  перестал пускать с мобилы по IKEv2/IPsec. 

[I] Jun  9 13:16:17 ndm: Radius::Eap::MsChapV2: EAP challenge identity is "VPN". 
[E] Jun  9 13:16:17 ndm: Radius::Eap::MsChapV2: wrong identity "VPN" (expected "12345"). 
[I] Jun  9 13:16:17 ipsec: 07[IKE] RADIUS authentication of '12345' failed 
[I] Jun  9 13:16:17 ipsec: 07[IKE] EAP method EAP_MSCHAPV2 failed for peer 12345

на 4.3.3 тоже самое.  Опять все откатывать на4.2? 

На мобиле в поле Identity укажите имя пользователя, которое используете для подключения.

[Pavlin]

16 часов назад, Le ecureuil сказал:

На мобиле в поле Identity укажите имя пользователя, которое используете для подключения.

спасибо.Помогло

[Pavlin]

Добрый день. Может ту кто подскажет .Проблема такая кинетик цепляется по L2tp c IPSec к винде 2008,2012 все норм работает. Начиная с 2016 по 2025 каждые 7 часов идут разрывы и начинается циклическое подключение каждые 30 сек и так до получаса потом опять норм. Можно конечно переподключить ручками то есть отключить на минуту само подключение потом опять включить но это не выход. Не помню какая прошивка была вроде 2.2.1 на которой работало все корректно,на всех остальных такой косяк.

[Le ecureuil]

8 часов назад, Pavlin сказал:

Добрый день. Может ту кто подскажет .Проблема такая кинетик цепляется по L2tp c IPSec к винде 2008,2012 все норм работает. Начиная с 2016 по 2025 каждые 7 часов идут разрывы и начинается циклическое подключение каждые 30 сек и так до получаса потом опять норм. Можно конечно переподключить ручками то есть отключить на минуту само подключение потом опять включить но это не выход. Не помню какая прошивка была вроде 2.2.1 на которой работало все корректно,на всех остальных такой косяк.

Показывайте self-test.

[ЮРо]

Задам возможно глупый вопрос - есть ли теоретическая возможность, для клиента IPSEC в Кинетик Ультра (KN-1810), использовать порты отличные от стандартных? Если да, как это сделать практически?

Edited June 17, 2025 by ЮРо

[nickez]

В 01.03.2025 в 00:07, witall сказал:

Доброго времени суток. Подскажите что делаю неправильно.

Имеется кинетик-1 с белым IP на котором стоит L2TP/IPsec сервер - 192.168.10.1. К серверу подключен Кинетик-2 в качестве vpn-клиента 192.168.5.1.  К Кинетик-1 подключаются другие vpn-клиенты(телефоны, планшеты), которые не могут получить доступ к Кинетику-2. В Диагностика\активные соединения Кинетик-2 видны обращения к нему, но ответа нет по любым портам, кроме ICMP. Также в сети Кинетик-2 есть Кинетик-3 (аналогичная проблема, есть обращения но нет ответа, хотя знаю что там есть проги с открытыми портами 80, 443, 222 и др.)

Кинетик-1 - пользовательский маршрут - 192.168.5.0/24 шлюз 172.16.2.33 интерфейс любой. 

Кинетик-2 пользовательский маршрут - 192.168.10.0/24 шлюз 172.16.2.33 (пробовал и без него- результат такой же)

   Межсетевой экран на интерфейсе vpn разрешает TCP, UDP, ICMP

Знаю, что исходящие правила можно настроить только через CLI, но раз трафик появляется на входе Кинетик-2 и Кинетик-3 значит с настройкой Кинетик-1 все нормально..??..

Аналогичная проблема, никак не могу настроить чтоб устройства подключающиеся к кинетик-1 видели кинетик-2,3... и их устройства, приэтом кинетик-2 нормально видит кинетик-3 и наоборот. множественного входа нет, каждое устройство подключается под своим логином и получает свой IP.

Помогите пожалуйста настроить, или ткните носом где читать )

[Serg23]

Подскажите, VPN L2TP/IPsec сервер с белым IP видит всех клиентов, а клиенты друг друга нет, все остальное работает ок

Edited December 24, 2025 by Serg23

[odmin991]

Добрый день!
Ознакомился с этой статьей Установка нескольких одновременных L2TP/IPSec-подключений
Собственно поменял на всех клиентах, которые сидят за одним NATом ветки реестра, как указано в статье, но изменений не произошло. Один ПК (windows) подключается к VPN, второй уже не может.

Подскажите в чем проблема?

[Sergeykk]

KN-1811 в 4.3.6.3 все работало. В 5.1 a3 че то опять поломали. Другие кинетики соединяются, айфон подключается, а компьютеры с виндой ни один. 

[Nicko McBrain]

В 02.03.2026 в 13:00, Sergeykk сказал:

В 5.1 a3 че то опять поломали

Вообще-то это сырая альфа. Что значит опять?

Edited March 3 by Nicko McBrain