МВ
Любой линукс-впс аналогично
Size: a a a
2020 March 27
EK
EK
да кучу инструкций пересмотрел вчера, везде, в целом, одно и то же написано
R
Пользователь Ирина имеет предупреждения 1/3; будьте осторожны!
Последнее предупреждение было потому, что:
Voice заблокирован в этом чате.
Последнее предупреждение было потому, что:
Voice заблокирован в этом чате.
B
Не выходит настроить подключение Микротика в качестве l2tp/ipsec-клиента к серверу RRaS на базе Windows Server 2012 R2. Сервер имеет белый ip-адрес, не находится ни за каким NAT.
На микротике изначально пробовал настроить по аналогии с pptp (который кстати, отлично работает), ноне вышло. Пытается установить соединение и через несколько секунд разрывает его.
Есть какие-то подводные камни? Заранее спасибо.
PS: другие девайсы-клиенты (windows/android/ios) отлично коннектятся через l2tp/ipsec.
На микротике изначально пробовал настроить по аналогии с pptp (который кстати, отлично работает), ноне вышло. Пытается установить соединение и через несколько секунд разрывает его.
Есть какие-то подводные камни? Заранее спасибо.
PS: другие девайсы-клиенты (windows/android/ios) отлично коннектятся через l2tp/ipsec.
какие механизмы аутентификации задействованы?
SN
какие механизмы аутентификации задействованы?
В IPSec Proposal - sha1-128cbc-nopfs. На вкладке dial-out интерфейса l2tp-out2 - отмечены к использованию все - chap, chap2 и т.д.
B
В IPSec Proposal - sha1-128cbc-nopfs. На вкладке dial-out интерфейса l2tp-out2 - отмечены к использованию все - chap, chap2 и т.д.
а причина разрыва какая?
SN
а причина разрыва какая?
Посмотрел...
Вылетало: vpn_server_ip_address fatal NO-PROPOSAL-CHOSEN notify message , phase1 should be deleted
Устранил это создав огромную конструкцию в разделе ip/ipsec, всё как для site-to-site ipsec.
Появилась другая ошибка...
Стало вылетать: vpn_server_ip_address fatal INVALID-ID-INFORMATION notify message , phase1 should be deleted
Эту пока не поборол.
Вылетало: vpn_server_ip_address fatal NO-PROPOSAL-CHOSEN notify message , phase1 should be deleted
Устранил это создав огромную конструкцию в разделе ip/ipsec, всё как для site-to-site ipsec.
Появилась другая ошибка...
Стало вылетать: vpn_server_ip_address fatal INVALID-ID-INFORMATION notify message , phase1 should be deleted
Эту пока не поборол.
B
Посмотрел...
Вылетало: vpn_server_ip_address fatal NO-PROPOSAL-CHOSEN notify message , phase1 should be deleted
Устранил это создав огромную конструкцию в разделе ip/ipsec, всё как для site-to-site ipsec.
Появилась другая ошибка...
Стало вылетать: vpn_server_ip_address fatal INVALID-ID-INFORMATION notify message , phase1 should be deleted
Эту пока не поборол.
Вылетало: vpn_server_ip_address fatal NO-PROPOSAL-CHOSEN notify message , phase1 should be deleted
Устранил это создав огромную конструкцию в разделе ip/ipsec, всё как для site-to-site ipsec.
Появилась другая ошибка...
Стало вылетать: vpn_server_ip_address fatal INVALID-ID-INFORMATION notify message , phase1 should be deleted
Эту пока не поборол.
задача была настроить L2TP IPSec?
SN
Да, к windows server rras.
B
Да, к windows server rras.
windows клиент?
SN
Нет, Микротик в роли клиента.
DS
Посмотрел...
Вылетало: vpn_server_ip_address fatal NO-PROPOSAL-CHOSEN notify message , phase1 should be deleted
Устранил это создав огромную конструкцию в разделе ip/ipsec, всё как для site-to-site ipsec.
Появилась другая ошибка...
Стало вылетать: vpn_server_ip_address fatal INVALID-ID-INFORMATION notify message , phase1 should be deleted
Эту пока не поборол.
Вылетало: vpn_server_ip_address fatal NO-PROPOSAL-CHOSEN notify message , phase1 should be deleted
Устранил это создав огромную конструкцию в разделе ip/ipsec, всё как для site-to-site ipsec.
Появилась другая ошибка...
Стало вылетать: vpn_server_ip_address fatal INVALID-ID-INFORMATION notify message , phase1 should be deleted
Эту пока не поборол.
я бы рекомендовал - удалить все что делали сами, оставить только default
в default profile - добавить 3des / в default proposal - добавить 3des
пробовать
в default profile - добавить 3des / в default proposal - добавить 3des
пробовать
SN
я бы рекомендовал - удалить все что делали сами, оставить только default
в default profile - добавить 3des / в default proposal - добавить 3des
пробовать
в default profile - добавить 3des / в default proposal - добавить 3des
пробовать
Да, вполне могу так попробовать сделать. Отпишусь о результатах через пару часов.
SN
Меня вот ещё интересует такое... Как поступать правильно: ipsec key указывать в dial-out вкладке интерфейса l2tp-out2 или же верно его указывать в ipsec/identities? При том, что не указывать в identities я не могу, без этого peer нельзя создать.
И
https://i.imgur.com/A1wq27g.png а что с иконками?
И
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
дефаулт фаерволл из квик сета вчера купленного микрота
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
дефаулт фаерволл из квик сета вчера купленного микрота
DS
Меня вот ещё интересует такое... Как поступать правильно: ipsec key указывать в dial-out вкладке интерфейса l2tp-out2 или же верно его указывать в ipsec/identities? При том, что не указывать в identities я не могу, без этого peer нельзя создать.
вы либо конфигурите ipsec нормально полностью от и до, либо используете только use-ipsec=yes и пароль только при конфигурации сервиса, который защищается ipsec
SN
вы либо конфигурите ipsec нормально полностью от и до, либо используете только use-ipsec=yes и пароль только при конфигурации сервиса, который защищается ipsec
О, спасибо. Интуитивно делал именно так, но решил переспросить.
АК
Посоветуйте бэст практис для удаленного безопасного доступа к микроту:
1. Если есть белый ip
2. Если нет белого ip
1. Если есть белый ip
2. Если нет белого ip