Mikrotik - konfiguracja VPN (L2TP)


(henryk.k) #1

Witam, mam problem z konfiguracją VPN (L2TP) na Mikrotiku.

 

Co zrobiłem:
Z poziomu WinBoxa w zakładce "PPP" -> "Profiles" utworzyłem nowy profil.
Następnie w zakładce "PPP" -> "Secrets" utworzyłem konto, które chcę używać podczas logowania.
W zakładce "PPP" -> "Interface" kliknąłem "L2TP Server", zaznaczyłem "Enabled" wskazałem wcześniej

utworzony profil oraz zaznaczyłem "Use IPsec" i wpisałem klucz.

Automatycznie w zakładce "IP" -> "IPsec" -> "Peers" utworzyłem się nowy wpis dotyczący klucza.

 

Utworzyłem reguły dla zapory

add chain=input dst-port=1701 protocol=udp

add chain=input dst-port=500 protocol=udp

add chain=input dst-port=4500 protocol=udp

add chain=input protocol=gre

 

...i teraz jak z poziomu Windowsa (z innej sieci - całkowicie inne połączenie internetowe) próbuję się połączyć,

to mam błąd 809. W logach Mikrotika mam:  first L2TP UDP packet received from 37.47.0.xxx

 

Jak jednak jestem w tej samej sieci co router, to bez problemu mogę się połączyć (zarówno po adresie lokalnym jak i publicznym routera).

 

Co robię źle?

 

Pozdrawiam

H.


(qbpm) #2

Zobacz czy router po stronie klienta ma włączone w firewallu L2TP pass through lub/i IPSec pass through.


(henryk.k) #3

hmm, szukam, szukam i nigdzie w ustawieniach firewallu nie widzę L2TP pass through / IPSec pass through :confused:

 

[EDIT] chyba już wiem w czym był problem… korzystam z internetu z telefonu - i chyba problem jest właśnie po stronie operatora NjuMobile. Przy “normalnym” połączeniu internetowym powinno być dobrze, ale dopiero w ciągu dnia będę mógł to zweryfikować.


(roobal) #4

Jakie masz ustawienia proposals po stronie ipsec? W Windowsie w ustawieniach VPN w zabezpieczeniach wybierz najmocniejsze szyfrowanie. 

Operator też może wycinać ruch ipsec, np. na firmowym Playu ipsec mam wycięty, co potwierdzono na infolinii.


(henryk.k) #5

…i faktycznie problem jest po stronie operatora Nju Mobile. Gdy łączę się, korzystając z innego dostawy internetu, nie ma żadnego problemu.


(roobal) #6

Dokładnie. Pakiet przychodzi do MT, ale na tym się kończy. Jak w logach będziesz miał pahse1 negotation failed, peer uses … than mine, to znaczy że masz ustawione inne proposale, niż proponuje system.