Jump to content
  • 0

Проблем с изграждане на Site-to-Site L2TP


ttsvetanov

Question

Здравейте колеги,

Имам следния проблем с изграждането на Site-to-Site L2TP между два микротика в различни мрежи. Ето повече информация за схемата ми:

Рутер 1 Офис
Публичен Адрес: 77.78.13.114
Вътрешна мрежа: 172.16.1.0/24


Рутер 2 Вкъщи
Публичен Адрес: 77.78.24.166
Вътрешна мрежа: 192.168.88.0/24

Принт на конфигурацията:

ROUTER 1

Print of /ppp secret

name="Slavyanska" service=l2tp caller-id="" password="BLABLABLA" profile=default local-address=10.1.100.1 remote-address=10.1.100.2 routes="192.168.88.0/24  10.1.100.2  1" limit-bytes-in=0 limit-bytes-out=0 last-logged-out=jan/01/1970 00:00:00

Print of /interface l2tp-server server

 enabled: yes
 max-mtu: 1460
 max-mru: 1460
 mrru: disabled
 authentication: mschap2
 keepalive-timeout: 30
 max-sessions: unlimited
 default-profile: default-encryption
 use-ipsec: no
 ipsec-secret: 
 caller-id-type: ip-address
 one-session-per-host: no
 allow-fast-path: no

ROUTER 2

Print of /interface l2tp-client

name="l2tp-out1" max-mtu=1460 max-mru=1460 mrru=disabled connect-to=77.78.13.114 user="Slavyanska" password="BLABLABLA" profile=default-encryption keepalive-timeout=60 use-ipsec=no ipsec-secret="" allow-fast-path=no add-default-route=no dial-on-demand=no allow=pap,chap,mschap1,mschap2

Print of /ip route

dst-address=172.16.1.0/24 gateway=l2tp-out1 gateway-status=l2tp-out1 unreachable distance=1 scope=30 target-scope=10

Проблемът е, че Рутер 2 не успява да се свърже към Рутер едно, ето какво излзиа в логовете:

l2tp-out1: initializing...
l2tp-out1: connecting...
l2tp-out1: terminating... - session closed

 Някой да има идея какво се случва и къде бъркам? Благодаря предварително!

Edited by ttsvetanov
Link to comment
Share on other sites

Recommended Posts

  • 0
  • Administrator

Не е ли по-добре да ползваш EoIP като имаш и в двете страни публични адреси - бързо и лесно включително може и да криптираш връзката елементарно... все още има ISP филтриращи 1701 !

Link to comment
Share on other sites

  • 0
  • Administrator

.. е то има и такива филтриращи  47-и.

Виж си трафика от двете страни и ще разбереш какво идва/минава.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 0

Махни този "/interface l2tp-server server" и всички настройки дето си правил на сървъра за L2TP. После отвори WinBox  и нацъкай L2TP сървъра, както е на картинката и изпълни в конзола само това:

 

/ppp secret
add local-address=10.1.100.1 name=tvoetopotrebitelskoime password=tvoiataparola remote-address=10.1.100.2 service=l2tp

Ако имаш локални мрежи на рутера в тази IP мрежа я смени с друга, за да минава чист рутинг без оная върховна простотия arp-proxy.

После на клиентският рутер единствено  правиш акаунт с IP-то на сървъра, името и паролата и абсолютно нищо друго.

/interface l2tp-client
add allow=chap,mschap2 connect-to=77.78.13.114 disabled=no max-mru=1460 max-mtu=1460 name=imenatunela password=tvoiataparola user=tvoetopotrebitelskoime

Това е достатъчно за тунела. Остава само да добавиш рутинг правила за мрежите, които ще искаш да се виждат по между си. Мрежата на самият l2tp не я дублирай от нито една от страните. Тя си е носеща и не те касае каква е. От към страната на клиента за рутингите по-добре ползвас за гейт не IP адрес а интерфейс -  imenatunela.

Untitled-1.jpg

Edited by gbdesign
Link to comment
Share on other sites

  • 0
  • Administrator
преди 11 минути, kokaracha написа:

.. е то има и такива филтриращи  47-и.

Виж си трафика от двете страни и ще разбереш какво идва/минава.

Хмм, не съм попадал на такива ! 

Link to comment
Share on other sites

  • 0
  • Administrator

Ама си попадал на такива филтриращи 1701,така ли да го разбираме ?

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 0
преди 4 минути, JohnTRIVOLTA написа:

Хмм, не съм попадал на такива ! 

В България нещата са добре но в чужбина има всякакви идиотии. На едно място имам рутер, от който ми трябва тунел и въобще протокола UDP е отрязан. Ама SSTP си работи на TCP и уеб порт. Хубавото е, при работа с Микротик, че разполагаш с огромен набор от комбинации на протоколи и технологии. Да му мислят Циско сектантите.  

Link to comment
Share on other sites

  • 0
  • Administrator
преди 5 минути, kokaracha написа:

Ама си попадал на такива филтриращи 1701,така ли да го разбираме ?

Да

Link to comment
Share on other sites

  • 0

Благодаря за отговорите!

14 hours ago, JohnTRIVOLTA said:

Не е ли по-добре да ползваш EoIP като имаш и в двете страни публични адреси - бързо и лесно включително може и да криптираш връзката елементарно... все още има ISP филтриращи 1701 !

Изградих точно EoIP, но без криптация. Кой метод ползваш и може ли малко насоки как го постигаш?

Link to comment
Share on other sites

  • 0
  • Administrator

Ако питаш как да криптираш то в самият EoIP ти е интегриран IPSEC ? Просто поставяш парола в двете страни на EoIP и бордовете ще генерират динамично останалите настройки на IPSEC - "When secret is specified, router adds dynamic ipsec peer to remote-address with pre-shared key and policy with default values (by default phase2 uses sha1/aes128cbc). Both local-address and remote-address of the tunnel must be specified for router to create valid ipsec policy"

  • Like 1
Link to comment
Share on other sites

  • 0

L2TP -здравейте господа инженери.

Имам въпрос! Отскоро минах отDHSP на PPPoE.

Машрутизатора се справя чудесно,но аз имам чуството понякога че нещо не е наред,като махнем шумовете от клиентите и т.н

Във моя случай трябвали да активирам L2TP на PPPoE сървара?

И някой знаели защо peer not responding! И се получава това -peer not responding 2345690031127894333005476

Нещо подобно..

Благодаря ...

 

20200603_225012.jpg

Edited by Vasanet
Link to comment
Share on other sites

  • 0
  • Administrator

Здравей, вероятно ти се къса моментно L2 мрежата. Като се вдигне pppoe кънекцията PPPOE server генерира на всеки 30 сек. ехо запитване фрейм и получава ехо отговор фрейм от клиента . Ако не получи такъв фрейм връзката се спира от сървъра, до като не получи отново PADI фрейм за да я изгради наново !

  • Thanks 1
Link to comment
Share on other sites

  • 0
На 4.06.2020 г. at 4:42, JohnTRIVOLTA написа:

Здравей, вероятно ти се къса моментно L2 мрежата. Като се вдигне pppoe кънекцията PPPOE server генерира на всеки 30 сек. ехо запитване фрейм и получава ехо отговор фрейм от клиента . Ако не получи такъв фрейм връзката се спира от сървъра, до като не получи отново PADI фрейм за да я изгради наново !

Здрасти 

Винаги има нещо за учене!! Благодаря ти за учудващо изчерпателният ти отговор!! Оказвасе че L2TP въобще не Включен!!

Имаш ли идеа от къде да започна със servera L2TP

Благодаря!!

Link to comment
Share on other sites

  • 0
  • Administrator
На 26.06.2020 г. at 20:02, Vasanet написа:

Здрасти 

Винаги има нещо за учене!! Благодаря ти за учудващо изчерпателният ти отговор!! Оказвасе че L2TP въобще не Включен!!

Имаш ли идеа от къде да започна със servera L2TP

Благодаря!!

L2TP и PPPoE са различни протоколи и нямат зависимости помежду им, особенно във вашият случай т.е не ти е нужен L2TP. Вероятно се заблуждавате понеже споменавам L2 свързаност имайки предвид OSI модела /Data Link/.

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

Да прав сте!!

Беше прибързан коментар от моя страна! Благодаря за вниманието!!

Поздрави..

Link to comment
Share on other sites

  • 0
На 26.06.2020 г. at 19:02, Vasanet написа:

Здрасти 

Винаги има нещо за учене!! Благодаря ти за учудващо изчерпателният ти отговор!! Оказвасе че L2TP въобще не Включен!!

Имаш ли идеа от къде да започна със servera L2TP

Благодаря!!

Здравей,

Пак сме тука със моята загадка!специално със този PADI не съм запознат въпреки че съм слушал в едни  латино -форуми

Проблемът ми се състоеше в следното че след изгубване на връзката PPPoE сървар -клиент 

На Log ми изписва peer is not responding 178340083311876 и т.н.к

Въпросът ми е възможнолие всичко това струпване да идва от IPsec защото там нищо не  е пипано!

Работя със МК-CCR1009-7G

Дори направих проба със личния ми уифи във къщи защото имах съмнения във суитча към антените! Но се получава същото!!

Edited by Vasanet
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.