Mikrotik - konfiguracja VPN (L2TP)

Witam, mam problem z konfiguracją VPN (L2TP) na Mikrotiku.

 

Co zrobiłem:
Z poziomu WinBoxa w zakładce “PPP” -> “Profiles” utworzyłem nowy profil.
Następnie w zakładce “PPP” -> “Secrets” utworzyłem konto, które chcę używać podczas logowania.
W zakładce “PPP” -> “Interface” kliknąłem “L2TP Server”, zaznaczyłem “Enabled” wskazałem wcześniej

utworzony profil oraz zaznaczyłem “Use IPsec” i wpisałem klucz.

Automatycznie w zakładce “IP” -> “IPsec” -> “Peers” utworzyłem się nowy wpis dotyczący klucza.

 

Utworzyłem reguły dla zapory

add chain=input dst-port=1701 protocol=udp

add chain=input dst-port=500 protocol=udp

add chain=input dst-port=4500 protocol=udp

add chain=input protocol=gre

 

…i teraz jak z poziomu Windowsa (z innej sieci - całkowicie inne połączenie internetowe) próbuję się połączyć,

to mam błąd 809. W logach Mikrotika mam:  first L2TP UDP packet received from 37.47.0.xxx

 

Jak jednak jestem w tej samej sieci co router, to bez problemu mogę się połączyć (zarówno po adresie lokalnym jak i publicznym routera).

 

Co robię źle?

 

Pozdrawiam

H.

Zobacz czy router po stronie klienta ma włączone w firewallu L2TP pass through lub/i IPSec pass through.

hmm, szukam, szukam i nigdzie w ustawieniach firewallu nie widzę L2TP pass through / IPSec pass through :confused:

 

[EDIT] chyba już wiem w czym był problem… korzystam z internetu z telefonu - i chyba problem jest właśnie po stronie operatora NjuMobile. Przy “normalnym” połączeniu internetowym powinno być dobrze, ale dopiero w ciągu dnia będę mógł to zweryfikować.

Jakie masz ustawienia proposals po stronie ipsec? W Windowsie w ustawieniach VPN w zabezpieczeniach wybierz najmocniejsze szyfrowanie. 

Operator też może wycinać ruch ipsec, np. na firmowym Playu ipsec mam wycięty, co potwierdzono na infolinii.

…i faktycznie problem jest po stronie operatora Nju Mobile. Gdy łączę się, korzystając z innego dostawy internetu, nie ma żadnego problemu.

Dokładnie. Pakiet przychodzi do MT, ale na tym się kończy. Jak w logach będziesz miał pahse1 negotation failed, peer uses … than mine, to znaczy że masz ustawione inne proposale, niż proponuje system.