plfrmcmp83 Inserito: 19 aprile 2019 Segnala Share Inserito: 19 aprile 2019 Buongiorno, oggi ho acceso il mio RBmAPL-2nD, resettando ai parametri di fabbrica. Poi ho tentato di configurare il server vpn per accesso da client remoto (Windows 7 oppure Android), ma l'esito è stato in entrambi i casi negativo. Sembre che non si stabilisca neppure il collegamento. Ho una connessione internet con IP statico, inoltre possiedo un indirizzo IP pubblico (diverso da quello assegnato al ruoter e gateway predefinito), si tratta di parametri forniti dal provider e4a. Nel Miktrotik ho attivato il server L2TP, generato il pool di indirizzi per la vpn, generato il profilo vpn, attivata la psk dal menù IPsec peer. Inoltre ho permesso il traffico attraverso il firewall di diversi protocolli e porte (udp 4500, 500, 1701, tcp 1723 e 443) e infine la mascheratura del traffico sulla rete vpn. Per effettuare le prove ho connesso direttamente il router Mikrotik alla WAN, eliminando il router principale. Ad integrazione di quanto sopra scritto allego il file estratto dal router. Ho saltato qualche regola firewall? Dove sbaglio? In precedenza sono riuscito a fare funzionare il vpn server solo in modalità pptp con la configurazione automatica quick setup, ma ora volevo attivare un server più sicuro per questo motivo sono partito da una configurazione pulita e ho tentato di configurare il server l2tp. Grazie a chiunque fornisca suggerimenti. # apr/19/2019 15:30:38 by RouterOS 6.40.8 # software id = ****-**** # # model = RouterBOARD mAP L-2nD # serial number = ************ /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\ MikroTik-0F6011 wireless-protocol=802.11 /ip neighbor discovery set ether1 discover=no /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 add name="L2TP Pool" ranges=192.168.89.2-192.168.89.255 /ip dhcp-server add address-pool=default-dhcp disabled=no interface=wlan1 name=defconf /ppp profile add dns-server=8.8.8.8 local-address=192.168.89.1 name="L2TP Profile" \ remote-address="L2TP Pool" wins-server=4.4.4.4 /interface l2tp-server server set enabled=yes /interface list member add comment=defconf interface=wlan1 list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=wlan1 network=\ 192.168.88.0 add address=xx.yy.zz.kk/29 interface=ether1 network=xx.yy.zz.0 //il mio indirizzo WAN fornito da provider /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\ ether1 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes servers=80.79.48.188,80.79.48.66 /ip dns static add address=192.168.88.1 name=router.lan /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN add action=accept chain=input comment="allow IPsec NAT\" dst-port=4500" \ dst-port=4500 protocol=udp add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN add action=accept chain=srcnat comment="masq. vpn traffic" src-address=\ 192.168.89.0/24 /ip ipsec peer add address=0.0.0.0/0 dh-group=modp1024 secret=********* /ip route add distance=1 gateway=xx.yy.zz.1 /ppp secret add name=****** password=********** profile="L2TP Profile" service=l2tp /system clock set time-zone-name=Europe/Rome /tool mac-server set [ find default=yes ] disabled=yes add interface=wlan1 /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=wlan1 Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 19 aprile 2019 Segnala Share Inserita: 19 aprile 2019 A prima vista mi sembra OK ma ho qalche dubbio sulle regole di firewall; devo guardarci con più attenzione quando sono al PC. Al limite prova a disabilitarle tutte Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 21 aprile 2019 Autore Segnala Share Inserita: 21 aprile 2019 Non so se è l'unico errore, devo ancora testare, ma forse ho scritto "accept" invece di "masquerade", vedi allegato. Può essere? Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 26 aprile 2019 Autore Segnala Share Inserita: 26 aprile 2019 Oggi sono riuscito a fare altre prove. Non ho risolto il problema, ma qualcosa si è mosso: 1) ho aggiornato action=masquerade su ip firewall-nat masq.vpn traffic --> esito: nulla di diverso rispetto ai test precedenti. Non si collega 2) disabilitato firewall #4 drop all non inconming from LAN --> in questo caso, quando tento di connettermi nel log è visibile "151.38.195.170 failed to pre-process ph2 packet" Con quali altre prove posso procedere? Grazie. Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 29 aprile 2019 Autore Segnala Share Inserita: 29 aprile 2019 Altra domanda, perdonate la probabile banalità: confontando il file di configurazione precedentemente allegato e quello dei quick set, ho notato che ora manca la riga /ppp profile set *FFFFFFFE local-address=... remote-address=... È necessaria? Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 4 maggio 2019 Autore Segnala Share Inserita: 4 maggio 2019 Ho fatto un altro paio di prove. Sembra che l'attivazione del PPTP server sia ininfluente (per me questo sarebbe logico). Sembra inoltre che la fase della chiave precondivisa sia superata (infatti introducendo apposta un errore nella preshared key cambia il log dell'errore). La rogna è nella phase 2, ha qualcosa che riguarda IPsec non opportunamente configurato? Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 4 maggio 2019 Segnala Share Inserita: 4 maggio 2019 Sicuro. ora non riesco a darti ulteriori aiuti perché sono su una nave e ho connessione satellitare che costa un botto. Controlla i tipi di cifratura IPSec. Verifica che vi siano quelli supportati da Windows. Lunedi posso guardarci meglio Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 12 maggio 2019 Autore Segnala Share Inserita: 12 maggio 2019 Oggi ho fatto altre prove: 1) In PPP-L2tp: Use Ipsec=yes poi ho reinserito la preshared key. Esito: negativo 2) In IPsec Peer: exchange mode=main l2tp + generate policy=port ovverride. Esito: connessione ok. Tutte le prove finora le avevo effettuate con RBmAPL-2nD collegato come router principale (questo per semplificare i test). Ora dovrei collegarlo a valle del router principale, quali porte devo aprire per il tunnel l2tp ipsec? Attualmente ho aperto solo la 1723 (retaggio dei primi test con pptp). Devo aprire anche 500, 1701 e 443? Grazie Link al commento Condividi su altri siti More sharing options...
abbio90 Inserita: 13 maggio 2019 Segnala Share Inserita: 13 maggio 2019 500, 1701 e 4500tutte in udp Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 18 maggio 2019 Autore Segnala Share Inserita: 18 maggio 2019 Grazie, ho aperto le porte indicate e adesso questo problema sembra essere superato. Da Android riesco a collegarmi, mentre da Windows 7 il collegamento non viene stabilito. Allego il log con entrambi i sistemi, cosa potrei modificare per permettere la connessione da Windows 7? Lato client Windows ho configurato così: Layer 2 Tunneling protocol, require encryption, MS CHAP V2, tolto il "domain logon". Link al commento Condividi su altri siti More sharing options...
abbio90 Inserita: 19 maggio 2019 Segnala Share Inserita: 19 maggio 2019 Devi togliere la crittografia su Windows e usi utente e pw senza password di ipsec Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 19 maggio 2019 Autore Segnala Share Inserita: 19 maggio 2019 Ho provato a modificare lato client mettendo encryption not required e poi anche togliendo la spunta da chiave precondivisa (in questo caso è d'obbligo la scelta di usare il certificato). Nel primo caso compare errore "no suitable proposal found", nel log non compare nemmeno il tentativo di collegamento. Allego screenshot degli errori, inoltre aggiungo anche gli screenshot più significativi della configurazione del server, sia mai che qualcuno trovi qualche errore.. Grazie. Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 19 maggio 2019 Autore Segnala Share Inserita: 19 maggio 2019 La cosa strana è che, a parità di impostazioni server, il collegamento da client Android funziona. Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 19 maggio 2019 Segnala Share Inserita: 19 maggio 2019 Il problema dovrebbe essere negli encryption della IPsec. Puoi provare a impostare un profilo IPsec con questi parametri: /ip ipsec profile add dh-group=modp1024 enc-algorithm=aes-256,aes-192,aes-128,3des name=profile_1 /ip ipsec peer add name=peer1 passive=yes profile=profile_1 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1,md5 pfs-group=none Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 19 maggio 2019 Autore Segnala Share Inserita: 19 maggio 2019 La versione del firmware che gira sul router è la 3.41. Non trovo il menù ipsec profile, comunque ho provato a flaggare manualmente gli algoritmi indicati (alcuni di questi non erano selezionati). Il risultato non cambia, da Android riesco a connettermi, mentre da Windows con psk attiva non riesco. Link al commento Condividi su altri siti More sharing options...
abbio90 Inserita: 19 maggio 2019 Segnala Share Inserita: 19 maggio 2019 Su Windows dovrebbe essere cosi senza nessuna pw ipsec.. Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 19 maggio 2019 Autore Segnala Share Inserita: 19 maggio 2019 Confermo di aver già effettuato anche questa prova, ma non funziona. L'esito è quello del log evidenzato nei precedenti post. Grazie comunque per i suggerimenti Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 19 maggio 2019 Segnala Share Inserita: 19 maggio 2019 3.41 è un firmware davvero vecchio. Forse tra i primi con cui ho iniziato io. Non puoi aggiornare? Comunque il problema ribadisco che è l'impostazione di IPsec Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 19 maggio 2019 Autore Segnala Share Inserita: 19 maggio 2019 Finora non avevo mai pensato di aggiornare il firmware, anche perché non avevo mai sospettato che fosse così vecchio. Provvederò.. Comunque per completezza riporto gli errori che compaiono lato client quando tento di collegarmi da Windows Link al commento Condividi su altri siti More sharing options...
plfrmcmp83 Inserita: 19 maggio 2019 Autore Segnala Share Inserita: 19 maggio 2019 Fatto l'upgrade a 6.44.3. Il risultano dei precedenti test rimane lo stesso. Link al commento Condividi su altri siti More sharing options...
Messaggi consigliati
Crea un account o accedi per commentare
Devi essere un utente per poter lasciare un commento
Crea un account
Registrati per un nuovo account nella nostra comunità. è facile!
Registra un nuovo accountAccedi
Hai già un account? Accedi qui.
Accedi ora