Vai al contenuto
PLC Forum


mikrotik vpn l2tp/ipsec


orgnemo

Messaggi consigliati

Salve, 
Seguendo i consigli del forum sono passato a mikrotik e devo dire che sono molto contento. Adesso sto cercando di configurare una VPN server per connettermi nella rete di casa.

la configurazione mikrotik 6.46.6 con lan 192.168.1.0/24:
 

/ppp profile add name=ipsec_vpn local-address=192.168.102.1 dns-server=192.168.1.1
/interface l2tp-server server set enabled=yes default-profile=ipsec_vpn authentication=mschap1,mschap2
/ip ipsec peer add exchange-mode=main passive=yes name=l2tpserver
/ip ipsec identity add generate-policy=port-override auth-method=pre-shared-key secret="pre123456" peer=l2tpserver
/ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=3des pfs-group=modp1024
/ppp secret add name="home" password="123456" service=l2tp profile=ipsec_vpn remote-address=192.168.102.2
/ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500
/ip firewall filter add chain=input action=accept protocol=ipsec-esp

Riesco a connettermi da lan, ma non da ip publico, pur aprendo le porte 1701, 500, 4500 da modem verso mikrotik, uso android per connettermi.

Non sono esperto vedete errori evidenti?

Grazie

Link al commento
Condividi su altri siti


Posta i log....sei sicuro che le porte sono aperte..?

Se fai dei dst-nat sul mikroik verso il gateway lan con le porte che hai messo nella regola di accept vedi traffico quando tenti la connessione?

Spiega come arriva l.ip pubblico alla RB..

 

N.B. con un solo secret con specificato il remote address può connettersi alla vpn un solo host per volta...

Secondo me conviene sempre collegare al profile in pool che utilizzerei per accesso temporanei alla vpn, ed utilizzare un remote address statico per i client che verranno raggiunti da rotte statiche

Link al commento
Condividi su altri siti

4 ore fa, abbio90 ha scritto:

Posta i log....sei sicuro che le porte sono aperte..?

Sul modem sono aperte quelle del mikrotik penso di si.

 

Log vpn locale:

14:56:24 ipsec,info respond new phase 1 (Identity Protection): 192.168.1.1[500]<=>192.168.1.2[500] 
14:56:25 ipsec,info ISAKMP-SA established 192.168.1.1[500]-192.168.1.2[500] spi:80df93378262ee10:99a4151413c8832a 
14:56:26 l2tp,info first L2TP UDP packet received from 192.168.1.2 
14:56:26 interface,info <l2tp-home> detect UNKNOWN 
14:56:26 l2tp,ppp,info,account home logged in, 192.168.102.2 
14:56:26 l2tp,ppp,info <l2tp-home>: authenticated 
14:56:26 l2tp,ppp,info <l2tp-home>: connected 

 

Log vpn remota:

15:02:19 l2tp,info first L2TP UDP packet received from 158.148.171.xxx 
15:02:50 ipsec,info purging ISAKMP-SA 192.168.1.1[500]<=>192.168.1.2[500] spi=80df93378262ee10:99a4151413c8832a. 
15:02:50 ipsec,info ISAKMP-SA deleted 192.168.1.1[500]-192.168.1.2[500] spi:80df93378262ee10:99a4151413c8832a rekey:1 
15:02:50 l2tp,ppp,info <l2tp-home>: terminating... - hungup 
15:02:50 l2tp,ppp,info,account home logged out, 384 105404 522359 1346 2081 
15:02:50 l2tp,ppp,info <l2tp-home>: disconnected 

 

Quote

Se fai dei dst-nat sul mikroik verso il gateway lan con le porte che hai messo nella regola di accept vedi traffico quando tenti la connessione?

il traffico lo vedo solo se mi collego da rete locale

 

Quote

N.B. con un solo secret con specificato il remote address può connettersi alla vpn un solo host per volta...

 Per adesso ci sono solo io a connettermi poi aggiungerò migliorie appena risolvo questi problemi.

 

Grazie

Link al commento
Condividi su altri siti

Le porte dovrebbero essere aperte:

2    ;;; ipsec
      chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=500 
      protocol=udp in-interface=ether1 dst-port=500 log=no log-prefix="" 

 3    ;;; l2tp
      chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=1701 
      protocol=udp in-interface=ether1 dst-port=1701 log=no log-prefix="" 

 4    ;;; ike
      chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=4500 
      protocol=udp in-interface=ether1 dst-port=4500 log=no log-prefix=""

C'e un ordine da rispettare?

Link al commento
Condividi su altri siti

I dst-nat che ti ho detto di fare in sostanza non servono ad una cippa...ma con esse vedi se le porte da pubblico lavorano tramite il contattore pacchetti...

che connessione hai???

sei certo di avere IP pubblico???

Modificato: da abbio90
Link al commento
Condividi su altri siti

Andrea Annoni
19 ore fa, orgnemo ha scritto:

15:02:19 l2tp,info first L2TP UDP packet received from 158.148.171.xxx 15:02:50 ipsec,info purging ISAKMP-SA 192.168.1.1[500]<=>192.168.1.2[500] spi=80df93378262ee10:99a4151413c8832a.

Secondo me hai problemi di NAT; Per fare una prova veloce disattiva lo strato di IPsec dalla L2TP

Link al commento
Condividi su altri siti

Ho una connessione tim e sono certo che sia un ip pubblico, perchè uso il port forwarding per altre cose e lì tutto funziona. La mia configurazione è semplice ho un modem asus collegato alla wan mikrotik RB2011UIAS-IN e uno switch collegato alla lan.

Stamattina mi sono rimesso a controllare da capo tutto e ho notato che la porta 500 era instradata al mikkrotik in tcp invece di udp (le avevo tolte e rimesse almeno 50 volte i giorni scorsi). Corretto l'errore sembrava che non fosse cambiato nulla, poi ho provato a fare una vpn client con ubuntu con il telefono come hotspot e da quel momento tutto ha funzionato anche da telefono.

 

Adesso vorrei aggiungere il pool come consigliato da obbio90.

 

Grazie a tutti.

Link al commento
Condividi su altri siti

basta crearlo e abbinarlo al profile...

poi nei secret che vuoi impostare statici nel secret oltre al profile specifichi il remote address

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
×
×
  • Crea nuovo/a...