configurazione server vpn l2tp Mikrotik

[plfrmcmp83]

Buongiorno,

 

oggi ho acceso il mio RBmAPL-2nD, resettando ai parametri di fabbrica.

Poi ho tentato di configurare il server vpn per accesso da client remoto (Windows 7 oppure Android), ma l'esito è stato in entrambi i casi negativo. Sembre che non si stabilisca neppure il collegamento.

Ho una connessione internet con IP statico, inoltre possiedo un indirizzo IP pubblico (diverso da quello assegnato al ruoter e gateway predefinito), si tratta di parametri forniti dal provider e4a.

Nel Miktrotik ho attivato il server L2TP, generato il pool di indirizzi per la vpn, generato il profilo vpn, attivata la psk dal menù IPsec peer. Inoltre ho permesso il traffico attraverso il firewall di diversi protocolli e porte (udp 4500, 500, 1701, tcp 1723 e 443) e infine la mascheratura del traffico sulla rete vpn.

Per effettuare le prove ho connesso direttamente il router Mikrotik alla WAN, eliminando il router principale.

 

Ad integrazione di quanto sopra scritto allego il file estratto dal router. Ho saltato qualche regola firewall? Dove sbaglio?

In precedenza sono riuscito a fare funzionare il vpn server solo in modalità pptp con la configurazione automatica quick setup, ma ora volevo attivare un server più sicuro per questo motivo sono partito da una configurazione pulita e ho tentato di configurare il server l2tp.

 

Grazie a chiunque fornisca suggerimenti.

 

# apr/19/2019 15:30:38 by RouterOS 6.40.8
# software id = ****-****
#
# model = RouterBOARD mAP L-2nD
# serial number = ************

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
    MikroTik-0F6011 wireless-protocol=802.11
/ip neighbor discovery
set ether1 discover=no
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name="L2TP Pool" ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=wlan1 name=defconf
/ppp profile
add dns-server=8.8.8.8 local-address=192.168.89.1 name="L2TP Profile" \
    remote-address="L2TP Pool" wins-server=4.4.4.4
/interface l2tp-server server
set enabled=yes
/interface list member
add comment=defconf interface=wlan1 list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=wlan1 network=\
    192.168.88.0
add address=xx.yy.zz.kk/29 interface=ether1 network=xx.yy.zz.0            //il mio indirizzo WAN fornito da provider
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=80.79.48.188,80.79.48.66
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input comment="allow IPsec NAT\" dst-port=4500" \
    dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 secret=*********
/ip route
add distance=1 gateway=xx.yy.zz.1
/ppp secret
add name=****** password=********** profile="L2TP Profile" service=l2tp
/system clock
set time-zone-name=Europe/Rome
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=wlan1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=wlan1
 

[Andrea Annoni]

A prima vista mi sembra OK ma ho qalche dubbio sulle regole di firewall; devo guardarci con più attenzione quando sono al PC.

Al limite prova a disabilitarle tutte

 

[plfrmcmp83]

Non so se è l'unico errore, devo ancora testare, ma forse ho scritto "accept" invece di "masquerade", vedi allegato. Può essere?

[plfrmcmp83]

Oggi sono riuscito a fare altre prove. Non ho risolto il problema, ma qualcosa si è mosso:

1) ho aggiornato action=masquerade su ip firewall-nat masq.vpn traffic --> esito: nulla di diverso rispetto ai test precedenti. Non si collega

 

2) disabilitato firewall #4 drop all non inconming from LAN --> in questo caso, quando tento di connettermi nel log è visibile "151.38.195.170 failed to pre-process ph2 packet"

 

Con quali altre prove posso procedere?

 

Grazie.

[plfrmcmp83]

Altra domanda, perdonate la probabile banalità: confontando il file di configurazione precedentemente allegato e quello dei quick set, ho notato che ora manca la riga 

/ppp profile

set *FFFFFFFE local-address=... remote-address=...

È necessaria?

[plfrmcmp83]

Ho fatto un altro paio di prove.

Sembra che l'attivazione del PPTP server sia ininfluente (per me questo sarebbe logico).

Sembra inoltre che la fase della chiave precondivisa sia superata (infatti introducendo apposta un errore nella preshared key cambia il log dell'errore).

La rogna è nella phase 2, ha qualcosa che riguarda IPsec non opportunamente configurato?

[Andrea Annoni]

Sicuro.

ora non riesco a darti ulteriori aiuti perché sono su una nave e ho connessione satellitare che costa un botto.

Controlla i tipi di cifratura IPSec. Verifica che vi siano quelli supportati da Windows.

Lunedi posso guardarci meglio 

[plfrmcmp83]

Oggi ho fatto altre prove:

1) In PPP-L2tp: Use Ipsec=yes poi ho reinserito la preshared key. Esito: negativo

2) In IPsec Peer: exchange mode=main l2tp + generate policy=port ovverride. Esito: connessione ok.

 

Tutte le prove finora le avevo effettuate con RBmAPL-2nD collegato come router principale (questo per semplificare i test). Ora dovrei collegarlo a valle del router principale, quali porte devo aprire per il tunnel l2tp ipsec? Attualmente ho aperto solo la 1723 (retaggio dei primi test con pptp). Devo aprire anche 500, 1701 e 443?

Grazie 

[abbio90]

500, 1701 e 4500tutte in udp

[plfrmcmp83]

Grazie, ho aperto le porte indicate e adesso questo problema sembra essere superato.

Da Android riesco a collegarmi, mentre da Windows 7 il collegamento non viene stabilito. Allego il log con entrambi i sistemi, cosa potrei modificare per permettere la connessione da Windows 7? Lato client Windows ho configurato così: Layer 2 Tunneling protocol, require encryption, MS CHAP V2, tolto il "domain logon".

 

[abbio90]

Devi togliere la crittografia su Windows e usi utente e pw senza password di ipsec

[plfrmcmp83]

Ho provato a modificare lato client mettendo encryption not required e poi anche togliendo la spunta da chiave precondivisa (in questo caso è d'obbligo la scelta di usare il certificato).

Nel primo caso compare errore "no suitable proposal found", nel log non compare nemmeno il tentativo di collegamento.

Allego screenshot degli errori, inoltre aggiungo anche gli screenshot più significativi della configurazione del server, sia mai che qualcuno trovi qualche errore..

Grazie.

[plfrmcmp83]

La cosa strana è che, a parità di impostazioni server, il collegamento da client Android funziona.

[Andrea Annoni]

Il problema dovrebbe essere negli encryption della IPsec.

 

Puoi provare a impostare un profilo IPsec con questi parametri:

/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-256,aes-192,aes-128,3des name=profile_1
/ip ipsec peer
add name=peer1 passive=yes profile=profile_1
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 pfs-group=none

 

[plfrmcmp83]

La versione del firmware che gira sul router è la 3.41. Non trovo il menù ipsec profile, comunque ho provato a flaggare manualmente gli algoritmi indicati (alcuni di questi non erano selezionati).

Il risultato non cambia, da Android riesco a connettermi, mentre da Windows con psk attiva non riesco.

[abbio90]

Su Windows dovrebbe essere cosi senza nessuna pw ipsec..

[plfrmcmp83]

Confermo di aver già effettuato anche questa prova, ma non funziona. L'esito è quello del log evidenzato nei precedenti post. Grazie comunque per i suggerimenti 

[Andrea Annoni]

3.41 è un firmware davvero vecchio. Forse tra i primi con cui ho iniziato io.

Non puoi aggiornare? Comunque il problema ribadisco che è l'impostazione di IPsec

[plfrmcmp83]

Finora non avevo mai pensato di aggiornare il firmware, anche perché non avevo mai sospettato che fosse così vecchio. Provvederò..

Comunque per completezza riporto gli errori che compaiono lato client quando tento di collegarmi da Windows

[plfrmcmp83]

Fatto l'upgrade a 6.44.3. Il risultano dei precedenti test rimane lo stesso.