Проблем с L2TP/IPSec на rb750gr3

[black_tulip]

След един ден четене и игра със определения рутер така и не успях да подкарам това, което ми трябва. До скоро работеше безотказно със PPTP но исках да вдигна сигурността и си рекох защо да не опитам L2TP/IP Sec. Рутерчето работи вече 5-та година и е железарка определено. Отзад има 10-тина машини и всичко работи перфектно. Един потребител със L2TP работи перфектно, но в момента в който се върже потребител номер 2, веднага първия го изхвърля. Без да се пипа нищо в момента в който потребител 2 се разлогне, потребител 1 пак си е логнат. Какво съм пропуснал и къде бъркам? 

Всеки потребител самостоятелно работи идеално, но 2-та заедно - не. А точно това ми трябва - да влизат и двата потребителя по едно и също време. В момента ако потребител 1 влезе през L2TP, а потребител 2 през PPTP няма проблеми. Какво не съм направил като хората? :) 

[kokaracha]

/ip firewall service-port enable pptp

[black_tulip]

Ето експортната конфигурация в текстови файл: 

/interface bridge
add admin-mac=**:**:**:**:**: auto-mac=no comment=\
    "created from master port" name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] mac-address=**:**:**:**:**:** name=\
    ether1-WAN speed=100Mbps
set [ find default-name=ether2 ] name=ether2-LAN speed=100Mbps
set [ find default-name=ether3 ] name=ether3-LAN speed=100Mbps
set [ find default-name=ether4 ] name=ether4-LAN speed=100Mbps
set [ find default-name=ether5 ] name=ether5-LAN speed=100Mbps
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server
add disabled=no interface=ether1-WAN name=server1
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128,3des
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
    aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
add enc-algorithms=3des name=proposal1 pfs-group=none
/ip kid-control
add fri=0s-0s mon=0s-0s name=kid1 rate-limit=30M sat=0s-0s sun=0s-0s thu=\
    0s-0s tue=0s-0s wed=0s-0s
/ip pool
add name=dhcp ranges=10.10.0.10-10.10.0.254
add name=pool-L2TP ranges=10.10.2.2-10.10.2.25
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=defconf
/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=10.0.2.1 name=\
    L2TP-Profile only-one=no remote-address=pool-L2TP use-encryption=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge1 interface=ether3-LAN
add bridge=bridge1 interface=ether4-LAN
add bridge=bridge1 interface=ether5-LAN
add bridge=bridge1 interface=ether2-LAN
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=L2TP-Profile enabled=yes \
    ipsec-secret="*******************" max-sessions=2 use-ipsec=yes
/interface list member
add comment=defconf interface=bridge1 list=LAN
add comment=defconf interface=ether1-WAN list=WAN
add interface=bridge1 list=discover
add interface=ether3-LAN list=discover
add interface=ether4-LAN list=discover
add interface=ether5-LAN list=discover
add interface=bridge1 list=mactel
add interface=bridge1 list=mac-winbox
/interface pptp-server server
set enabled=yes
/ip address
add address=10.10.0.1/24 comment=defconf interface=bridge1 network=10.10.0.0
add address=212.***.***.***/25 interface=ether1-WAN network=212.***.***.***
/ip dhcp-client
add comment=defconf interface=ether1-WAN
/ip dhcp-server lease

Следват маковете на компютрите със IP-т от вътрешната мрежа

/ip dhcp-server network
add address=10.10.0.0/24 comment=defconf gateway=10.10.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=212.*.*.*,212.***.***.*
/ip dns static
add address=10.10.0.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=1701,500,4500 protocol=udp src-port=""
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface-list=WAN
/ip kid-control device
add mac-address=**:**:**:**:**:** name="*****" user=kid1
/ip route
add distance=1 gateway=212.***.***.***
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add local-address=10.10.1.1 name=User1 password="*************" \
    profile=default-encryption remote-address=10.10.1.2 service=pptp
add local-address=10.10.1.1 name=User2 password="*************" \
    profile=default-encryption remote-address=10.10.1.3 service=pptp
add name=User3 password="*************" profile=\
    L2TP-Profile service=l2tp
add name=User4 password="*************" profile=\
    L2TP-Profile service=l2tp
/system clock
set time-zone-name=Europe/Sofia
/system identity
set name="The *****"
/system resource irq rps
set ether1-WAN disabled=no
set ether3-LAN disabled=no
set ether4-LAN disabled=no
set ether5-LAN disabled=no
set ether2-LAN disabled=no
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox

 

[JohnTRIVOLTA]

@black_tulip , по-горе бях застъпил на две на три какъв е проблема. Мисля да не преразказвам , а сам да погледните този пост в официалният форум, който се разяснява по-подробно проблема, като също така там се дава и решение на същият . Успех !

[kokaracha]

Warning: Only one L2TP/IpSec connection can be established through the NAT. Which means that only one client can connect to the sever located behind the same router.

https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP

 

[black_tulip]

Погледнах в поста и пише интересни неща. Не държа твърдо да е L2TP/IPSec а ми се искаше нещо с повече сигурност. Мисля, че SSTP ще ми е по-лесно да сътворя.   Сега ще погледна малко инфо.  

[JohnTRIVOLTA]

Преди 3 часа, black_tulip написа:

Погледнах в поста и пише интересни неща. Не държа твърдо да е L2TP/IPSec а ми се искаше нещо с повече сигурност. Мисля, че SSTP ще ми е по-лесно да сътворя.   Сега ще погледна малко инфо.  

Да , лесно се сетва . За свързаност и управление е перфектен, но да знаеш , че пърформънса е най-зле от L2 и PPtP и не очаквай високи скорости!

[black_tulip]

Колко да речем ще падне скоростта и кое определя нейното намаляване? Процесора на рутера, правилата във Firewall или просто си е по-бавен? На мястото, където са компютрите, на които трябва да се работи скоростта е поне 100-тина Mbps. На местата от които трабва да се работи скоростите на интернета да приемем че не са под 20-30 Mbps. Като цяло минимум 20-30 мегаита ме устройва за работа. Колко евентуално би намаляла при идеални условия? 

[JohnTRIVOLTA]

Преди 1 час, black_tulip написа:

Колко да речем ще падне скоростта и кое определя нейното намаляване? Процесора на рутера, правилата във Firewall или просто си е по-бавен? На мястото, където са компютрите, на които трябва да се работи скоростта е поне 100-тина Mbps. На местата от които трабва да се работи скоростите на интернета да приемем че не са под 20-30 Mbps. Като цяло минимум 20-30 мегаита ме устройва за работа. Колко евентуално би намаляла при идеални условия? 

Няма еднозначен отговор, простo сетваш, пробваш и преценяваш! Инак при мен нещата са варирали, но не повече от 25-30% от наличният трафик. Процесора винаги има значение !

Редактирано 11 Юли, 2021 от JohnTRIVOLTA

[111111]

На 10.07.2021 г. at 21:39, kokaracha написа:

Warning: Only one L2TP/IpSec connection can be established through the NAT. Which means that only one client can connect to the sever located behind the same router.

https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP

 

Това е в случай 
Интернет > рутер+ нат > L2TP Сървър

на моята машина има 2 сесии без проблем

[black_tulip]

Това е много добре и ще почета малко как да го направя. Реално там където са 2-та лаптопа се работи с микротик, и нещата ще станат. Ако двата лаптопа са на различни IP-та не го коментирам. Когато обаче се пътува (което е сравнително често) ще трябва да се носи например hap ac-2 (което го има налично разбира се) и ще се връзват 2-та лаптопа винаги през него. Не е голям, не тежи и така ще станат нещата.  

[111111]

Дигай сесиите от лаптопа директно, защо трябва да си усложняваш живота?

[Codename]

За да избегнеш всякакви проблеми, създай/мултиприлицирай за всеки потребител нов Profile и нов Secret. Също както и в PPTP са създадени юзърите с уникални адреси създай и L2TP-тата. Така ще си сигурен, че няма да тръгнат на един адрес два юзъра. Само това, че ползват един адрес е причината да няма нет на 2рия, който се е вързал. Преди година имах същия проблем, докато не започнах да си създавам за всеки потребител записи... поне решението е елементарно в случая ти. В момента с един профил правиш комфликт в пула.

П.П. С твоя рутер и други с мощен процесор, що се касае до сигурност и бързина, научи се да правиш IPsec IKEv2 връзки, споделям линк в поста си, момчето от уебинара е гуру, това прави по цял ден. Много приятен руснак с офис от плажа препоръчвам го, дори и без да ползвате SSL сертификат, създавал съм доста мрежи между рутери и работи перфектно без никакви грижи. А ако се спънете по конфигурациите някъде той е готов винаги да помогне. Успех !

Това момче е 

Редактирано 26 Юли, 2021 от Codename

[JohnTRIVOLTA]

Преди 1 час, Codename написа:

За да избегнеш всякакви проблеми, създай/мултиприлицирай за всеки потребител нов Profile и нов Secret. Също както и в PPTP са създадени юзърите с уникални адреси създай и L2TP-тата. Така ще си сигурен, че няма да тръгнат на един адрес два юзъра. Само това, че ползват един адрес е причината да няма нет на 2рия, който се е вързал. Преди година имах същия проблем, докато не започнах да си създавам за всеки потребител записи... поне решението е елементарно в случая ти. В момента с един профил правиш комфликт в пула.

Не е нужно да се прави нов профил за всеки юзър. При теб е имало друг проблем вероятно! Спокойно може да се ползва ip pool в DHCP и в профил за VPN едновременно - пула си има собствен запис на ползваните адреси и няма как да се объркат нещата. Ако пък толкова е нужно да се разграничат с определени адреси нещата то се ползва запис за адрес в сикрета /юзъра/, а не в профила.!

[Codename]

преди 21 минути, JohnTRIVOLTA написа:

Не е нужно да се прави нов профил за всеки юзър. При теб е имало друг проблем вероятно! Спокойно може да се ползва ip pool в DHCP и в профил за VPN едновременно - пула си има собствен запис на ползваните адреси и няма как да се объркат нещата. Ако пък толкова е нужно да се разграничат с определени адреси нещата то се ползва запис за адрес в сикрета /юзъра/, а не в профила.!

Принципно си прав, но за да се избегне конфликт на юзърите, а и е въпрос на етика всеки юзър да си има собствени ясно изразени правила давам този съвет, вече всеки сам си решава как да си "подправя кашичката"
Прилагам един скрийн пример, където се вижда къде разграничавам всеки юзър по адрес, конфигурацията работи безотказно.

 

[JohnTRIVOLTA]

преди 18 минути, Codename написа:

Принципно си прав, но за да се избегне конфликт на юзърите, а и е въпрос на етика всеки юзър да си има собствени ясно изразени правила давам този съвет, вече всеки сам си решава как да си "подправя кашичката"
Прилагам един скрийн пример, където се вижда къде разграничавам всеки юзър по адрес, конфигурацията работи безотказно.

 

Никой не казва, че това не работи, а че е просто не нужно и по-правилно да е така:

Но който, каквото му душа сака да прави