Проблем с изграждане на Site-to-Site L2TP

[ttsvetanov]

Здравейте колеги,

Имам следния проблем с изграждането на Site-to-Site L2TP между два микротика в различни мрежи. Ето повече информация за схемата ми:

Рутер 1 Офис
Публичен Адрес: 77.78.13.114
Вътрешна мрежа: 172.16.1.0/24

Рутер 2 Вкъщи
Публичен Адрес: 77.78.24.166
Вътрешна мрежа: 192.168.88.0/24

Принт на конфигурацията:

ROUTER 1

Print of /ppp secret

name="Slavyanska" service=l2tp caller-id="" password="BLABLABLA" profile=default local-address=10.1.100.1 remote-address=10.1.100.2 routes="192.168.88.0/24  10.1.100.2  1" limit-bytes-in=0 limit-bytes-out=0 last-logged-out=jan/01/1970 00:00:00

Print of /interface l2tp-server server

 enabled: yes
 max-mtu: 1460
 max-mru: 1460
 mrru: disabled
 authentication: mschap2
 keepalive-timeout: 30
 max-sessions: unlimited
 default-profile: default-encryption
 use-ipsec: no
 ipsec-secret: 
 caller-id-type: ip-address
 one-session-per-host: no
 allow-fast-path: no

ROUTER 2

Print of /interface l2tp-client

name="l2tp-out1" max-mtu=1460 max-mru=1460 mrru=disabled connect-to=77.78.13.114 user="Slavyanska" password="BLABLABLA" profile=default-encryption keepalive-timeout=60 use-ipsec=no ipsec-secret="" allow-fast-path=no add-default-route=no dial-on-demand=no allow=pap,chap,mschap1,mschap2

Print of /ip route

dst-address=172.16.1.0/24 gateway=l2tp-out1 gateway-status=l2tp-out1 unreachable distance=1 scope=30 target-scope=10

Проблемът е, че Рутер 2 не успява да се свърже към Рутер едно, ето какво излзиа в логовете:

l2tp-out1: initializing...
l2tp-out1: connecting...
l2tp-out1: terminating... - session closed

 Някой да има идея какво се случва и къде бъркам? Благодаря предварително!

Редактирано 22 Февруари, 2018 от ttsvetanov

[JohnTRIVOLTA]

Не е ли по-добре да ползваш EoIP като имаш и в двете страни публични адреси - бързо и лесно включително може и да криптираш връзката елементарно... все още има ISP филтриращи 1701 !

[kokaracha]

.. е то има и такива филтриращи  47-и.

Виж си трафика от двете страни и ще разбереш какво идва/минава.

[gbdesign]

Махни този "/interface l2tp-server server" и всички настройки дето си правил на сървъра за L2TP. После отвори WinBox  и нацъкай L2TP сървъра, както е на картинката и изпълни в конзола само това:

 

/ppp secret
add local-address=10.1.100.1 name=tvoetopotrebitelskoime password=tvoiataparola remote-address=10.1.100.2 service=l2tp

Ако имаш локални мрежи на рутера в тази IP мрежа я смени с друга, за да минава чист рутинг без оная върховна простотия arp-proxy.

После на клиентският рутер единствено  правиш акаунт с IP-то на сървъра, името и паролата и абсолютно нищо друго.

/interface l2tp-client
add allow=chap,mschap2 connect-to=77.78.13.114 disabled=no max-mru=1460 max-mtu=1460 name=imenatunela password=tvoiataparola user=tvoetopotrebitelskoime

Това е достатъчно за тунела. Остава само да добавиш рутинг правила за мрежите, които ще искаш да се виждат по между си. Мрежата на самият l2tp не я дублирай от нито една от страните. Тя си е носеща и не те касае каква е. От към страната на клиента за рутингите по-добре ползвас за гейт не IP адрес а интерфейс -  imenatunela.

Редактирано 22 Февруари, 2018 от gbdesign

[JohnTRIVOLTA]

преди 11 минути, kokaracha написа:

.. е то има и такива филтриращи  47-и.

Виж си трафика от двете страни и ще разбереш какво идва/минава.

Хмм, не съм попадал на такива ! 

[kokaracha]

Ама си попадал на такива филтриращи 1701,така ли да го разбираме ?

[gbdesign]

преди 4 минути, JohnTRIVOLTA написа:

Хмм, не съм попадал на такива ! 

В България нещата са добре но в чужбина има всякакви идиотии. На едно място имам рутер, от който ми трябва тунел и въобще протокола UDP е отрязан. Ама SSTP си работи на TCP и уеб порт. Хубавото е, при работа с Микротик, че разполагаш с огромен набор от комбинации на протоколи и технологии. Да му мислят Циско сектантите.  

[JohnTRIVOLTA]

преди 5 минути, kokaracha написа:

Ама си попадал на такива филтриращи 1701,така ли да го разбираме ?

Да

[ttsvetanov]

Благодаря за отговорите!

14 hours ago, JohnTRIVOLTA said:

Не е ли по-добре да ползваш EoIP като имаш и в двете страни публични адреси - бързо и лесно включително може и да криптираш връзката елементарно... все още има ISP филтриращи 1701 !

Изградих точно EoIP, но без криптация. Кой метод ползваш и може ли малко насоки как го постигаш?

[JohnTRIVOLTA]

Ако питаш как да криптираш то в самият EoIP ти е интегриран IPSEC ? Просто поставяш парола в двете страни на EoIP и бордовете ще генерират динамично останалите настройки на IPSEC - "When secret is specified, router adds dynamic ipsec peer to remote-address with pre-shared key and policy with default values (by default phase2 uses sha1/aes128cbc). Both local-address and remote-address of the tunnel must be specified for router to create valid ipsec policy"

[Vasanet]

L2TP -здравейте господа инженери.

Имам въпрос! Отскоро минах отDHSP на PPPoE.

Машрутизатора се справя чудесно,но аз имам чуството понякога че нещо не е наред,като махнем шумовете от клиентите и т.н

Във моя случай трябвали да активирам L2TP на PPPoE сървара?

И някой знаели защо peer not responding! И се получава това -peer not responding 2345690031127894333005476

Нещо подобно..

Благодаря ...

 

Редактирано 3 Юни, 2020 от Vasanet

[JohnTRIVOLTA]

Здравей, вероятно ти се къса моментно L2 мрежата. Като се вдигне pppoe кънекцията PPPOE server генерира на всеки 30 сек. ехо запитване фрейм и получава ехо отговор фрейм от клиента . Ако не получи такъв фрейм връзката се спира от сървъра, до като не получи отново PADI фрейм за да я изгради наново !

[Vasanet]

На 4.06.2020 г. at 4:42, JohnTRIVOLTA написа:

Здравей, вероятно ти се къса моментно L2 мрежата. Като се вдигне pppoe кънекцията PPPOE server генерира на всеки 30 сек. ехо запитване фрейм и получава ехо отговор фрейм от клиента . Ако не получи такъв фрейм връзката се спира от сървъра, до като не получи отново PADI фрейм за да я изгради наново !

Здрасти 

Винаги има нещо за учене!! Благодаря ти за учудващо изчерпателният ти отговор!! Оказвасе че L2TP въобще не Включен!!

Имаш ли идеа от къде да започна със servera L2TP

Благодаря!!

[JohnTRIVOLTA]

На 26.06.2020 г. at 20:02, Vasanet написа:

Здрасти 

Винаги има нещо за учене!! Благодаря ти за учудващо изчерпателният ти отговор!! Оказвасе че L2TP въобще не Включен!!

Имаш ли идеа от къде да започна със servera L2TP

Благодаря!!

L2TP и PPPoE са различни протоколи и нямат зависимости помежду им, особенно във вашият случай т.е не ти е нужен L2TP. Вероятно се заблуждавате понеже споменавам L2 свързаност имайки предвид OSI модела /Data Link/.

Редактирано 28 Юни, 2020 от JohnTRIVOLTA

[Vasanet]

Да прав сте!!

Беше прибързан коментар от моя страна! Благодаря за вниманието!!

Поздрави..

[Vasanet]

На 26.06.2020 г. at 19:02, Vasanet написа:

Здрасти 

Винаги има нещо за учене!! Благодаря ти за учудващо изчерпателният ти отговор!! Оказвасе че L2TP въобще не Включен!!

Имаш ли идеа от къде да започна със servera L2TP

Благодаря!!

Здравей,

Пак сме тука със моята загадка!специално със този PADI не съм запознат въпреки че съм слушал в едни  латино -форуми

Проблемът ми се състоеше в следното че след изгубване на връзката PPPoE сървар -клиент 

На Log ми изписва peer is not responding 178340083311876 и т.н.к

Въпросът ми е възможнолие всичко това струпване да идва от IPsec защото там нищо не  е пипано!

Работя със МК-CCR1009-7G

Дори направих проба със личния ми уифи във къщи защото имах съмнения във суитча към антените! Но се получава същото!!

Редактирано 9 Юли, 2020 от Vasanet