В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MikrotikClub

2513 membersпожаловаться на группу
2020 March 27

DS

Dmitry Shevchenko in MikrotikClub
Драничек
Не совсем так, согласен. В смысле они подключаются под профилем, который по умолчанию установлен на сервере. Или радиусных клиентов можно жестко привязать к профилю?
при использовании RADIUS only-one оперделяется на нем
источник
13:21пожаловаться#1

DS

Dmitry Shevchenko in MikrotikClub
Драничек
И еще один непонятный момент. На сервере указан профиль (скрин выше), в нем при UpDown прописаны скрипты. Это для радиусных клиентов. Для других удаленных объекто заведен другой профиль и соответствующие сикреты. Но все равно при подключении выполняется этот скрипт, хотя привязаны к профилю без скрипта
UPD: получается, что выполняется скрипт Up/Down из профиля, которому привязан сикрет и еще из профиля, установленного в /interface l2tp-server server
Чертовщина какая-то
l2tp - это тот же ppp, поэтому так
источник
13:22пожаловаться#2

Д

Драничек in MikrotikClub
Dmitry Shevchenko
l2tp - это тот же ppp, поэтому так
Не совсем понял. То есть в любом случае обрабатывается оба профиля?
источник
13:23пожаловаться#3

DS

Dmitry Shevchenko in MikrotikClub
Драничек
Не совсем понял. То есть в любом случае обрабатывается оба профиля?
да
источник
13:23пожаловаться#4

Д

Драничек in MikrotikClub
Интересно. В первом профиле (который указан на сервере) кроме всего еще и адреса выдаются из пула, во втором - нет. И работает корректно
источник
13:24пожаловаться#5

DS

Dmitry Shevchenko in MikrotikClub
Драничек
Интересно. В первом профиле (который указан на сервере) кроме всего еще и адреса выдаются из пула, во втором - нет. И работает корректно
сначала будет обработан ppp-profile, затем тот который в l2tp - ИМХО, я вот только не понимаю зачем его задавать в ppp secret профиль ;)
источник
13:25пожаловаться#6

Д

Драничек in MikrotikClub
Dmitry Shevchenko
сначала будет обработан ppp-profile, затем тот который в l2tp - ИМХО, я вот только не понимаю зачем его задавать в ppp secret профиль ;)
Интересно. Думаю, стоит задать вопрос разрабам. Спасибо за помощь!
источник
13:25пожаловаться#7

SN

Stanislav Novofastovskiy in MikrotikClub
Dmitry Shevchenko
я бы рекомендовал - удалить все что делали сами, оставить только default
в default profile - добавить 3des / в default proposal - добавить 3des
пробовать
Итак. Попробовал, с одним лишь исключением. Трогать default profile и default proposal не стал, а создал их копии, так как default мне нужен для уже одного имеющегося l2tp подключения, работу которого не хотелось трогать.

В итоге получил такие настройки...

interface l2tp-client print 
 1    name="l2tp-out2" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=101.209.216.33 user="user" password="password" 
      profile=default-encryption keepalive-timeout=60 use-ipsec=no ipsec-secret="secret" allow-fast-path=no add-default-route=no dial-on-demand=no 
      allow=pap,chap,mschap1,mschap2

ip ipsec profile print
 0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5 

 1   name="profile1" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5

ip ipsec profile print
 0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5 

 1   name="profile1" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5

ip ipsec identity print       
 0    peer=peer1 auth-method=pre-shared-key secret="secret" generate-policy=no

ip ipsec peer print 
 0     name="peer1" address=101.209.216.33/32 local-address=47.239.26.33 profile=profile1 exchange-mode=main send-initial-contact=yes

/ip ipsec policy
add dst-address=101.209.216.33/32 peer=peer1 sa-dst-address=101.209.216.33 sa-src-address=47.239.26.33 src-address=47.239.26.33/32 tunnel=yes


Результат такой же как и был ранее...
источник
14:17пожаловаться#8

SN

Stanislav Novofastovskiy in MikrotikClub
источник
14:18пожаловаться#9

DS

Dmitry Shevchenko in MikrotikClub
Stanislav Novofastovskiy
Итак. Попробовал, с одним лишь исключением. Трогать default profile и default proposal не стал, а создал их копии, так как default мне нужен для уже одного имеющегося l2tp подключения, работу которого не хотелось трогать.

В итоге получил такие настройки...

interface l2tp-client print 
 1    name="l2tp-out2" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=101.209.216.33 user="user" password="password" 
      profile=default-encryption keepalive-timeout=60 use-ipsec=no ipsec-secret="secret" allow-fast-path=no add-default-route=no dial-on-demand=no 
      allow=pap,chap,mschap1,mschap2

ip ipsec profile print
 0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5 

 1   name="profile1" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5

ip ipsec profile print
 0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5 

 1   name="profile1" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5

ip ipsec identity print       
 0    peer=peer1 auth-method=pre-shared-key secret="secret" generate-policy=no

ip ipsec peer print 
 0     name="peer1" address=101.209.216.33/32 local-address=47.239.26.33 profile=profile1 exchange-mode=main send-initial-contact=yes

/ip ipsec policy
add dst-address=101.209.216.33/32 peer=peer1 sa-dst-address=101.209.216.33 sa-src-address=47.239.26.33 src-address=47.239.26.33/32 tunnel=yes


Результат такой же как и был ранее...
уберите пароль - пропишите его в identity для конкретного пира (увидел - прописан)
и где proposal ?
/ip ipsec policy tunnel=no
/system logging add topics=ipsec,!debug
источник
14:27пожаловаться#10

SR

Sergey R. in MikrotikClub
в связи с переходом на удаленку, как сделать так, что бы когда пользователь подключившись по ВПН и обратившись к своему выключенному ПК в офисе по РДП, тот ПК включался? :) на микротике (+ есть сервер linux)
источник
14:29пожаловаться#11

SN

Stanislav Novofastovskiy in MikrotikClub
Dmitry Shevchenko
уберите пароль - пропишите его в identity для конкретного пира (увидел - прописан)
и где proposal ?
/ip ipsec policy tunnel=no
/system logging add topics=ipsec,!debug
Так и сделано. Там же пароль задизейблен в интерфейсе, а в identities он прописан.
Дебаг ipsec включен, так же включен дебаг l2tp. Скрин логов делался уже с включенным их логированием. Туннельный режим сейчас попробую отключить...
источник
14:30пожаловаться#12

DS

Dmitry Shevchenko in MikrotikClub
Sergey R.
в связи с переходом на удаленку, как сделать так, что бы когда пользователь подключившись по ВПН и обратившись к своему выключенному ПК в офисе по РДП, тот ПК включался? :) на микротике (+ есть сервер linux)
ppp-up скрпит с wake-on-lan (правда как вы связку будете поддерживать vpn-acc - workstation, не очень понятно)
источник
14:31пожаловаться#13

SR

Sergey R. in MikrotikClub
спасибо, тоже вариант
источник
14:32пожаловаться#14

SN

Stanislav Novofastovskiy in MikrotikClub
Dmitry Shevchenko
уберите пароль - пропишите его в identity для конкретного пира (увидел - прописан)
и где proposal ?
/ip ipsec policy tunnel=no
/system logging add topics=ipsec,!debug
Убрал галочку с режима туннеля. Результат в логах такой же.
источник
14:33пожаловаться#15

DS

Dmitry Shevchenko in MikrotikClub
ну все только страдать :)
источник
14:33пожаловаться#16

DS

Dmitry Shevchenko in MikrotikClub
INVALID_ID_INFO - неверная конфигурация peer-а
источник
14:33пожаловаться#17

SN

Stanislav Novofastovskiy in MikrotikClub
Dmitry Shevchenko
INVALID_ID_INFO - неверная конфигурация peer-а
Я так понимаю, об этом Микротику сообщает сервер, верно?
источник
14:34пожаловаться#18

DS

Dmitry Shevchenko in MikrotikClub
Stanislav Novofastovskiy
Убрал галочку с режима туннеля. Результат в логах такой же.
proposal то где ?
источник
14:34пожаловаться#19

SN

Stanislav Novofastovskiy in MikrotikClub
Dmitry Shevchenko
proposal то где ?
В смысле, он на месте.
источник
14:35пожаловаться#20