Jump to content
  • 0

Някой да има Ipsec site 2 site и L2TP/Ipsec работещ на 6.42.1?


windwalker78

Question

  Здравейте,

  Обнових един 5.25 на 6.42.1 и доста зор тръгнаха 2 броя IPsec от сайт до сайт, но вече 4 часа не мога да вдигна най-обикновен l2tp/ipsec, който работеше на 5.25. Пробвах:

 

1. Предложението с FFFFFFFF и да изтрия default групата в IPsec:

 

/ip ipsec peer

add address=0.0.0.0/0 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="test" generate-policy=port-override policy-template-group=*FFFFFFFF exchange-mode=main-l2tp\ send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=5

 

 Ipsec-groups-default не дава да се трие

 

2. Пробвах да направя dstnat като първи рул и всичко що е различно от IPтата на отдалечените тунели на порт UDP 500,1701,4000 да се мапва на реалния адрес.

 

Ефекта е 0 и грешката е пак:

ipsec,error failed to pre-process ph2 packet.

 

Някой с идея или работещ l2tp/iosec на 6.42.1?

 

Поздрави 

Link to comment
Share on other sites

4 answers to this question

Recommended Posts

  • 0
  • Administrator

Така както си го описал няма да се конектнат посмъртно,опиши си адресите. Аз имам работещи няколко между микротик и жунипър дори.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 0
On 5/6/2018 at 10:02 PM, kokaracha said:

Така както си го описал няма да се конектнат посмъртно,опиши си адресите. Аз имам работещи няколко между микротик и жунипър дори.

   Здравей,

 

   Пак казвам, че два от IPSEC/IPSEC Site 2 Site тунелите си работят след ъпгрейда. Не мога да накарам road warriors Windows 7 да работи с L2TP/IPsec. Не разбирам какво толкова се маже.

   Ето ми конфига след автоматичния му ъпгрейд от 5.25 на 6.42.1:

 

/ppp profile
set *0 dns-server=192.168.99.1
add change-tcp-mss=yes name=zen
add dns-server=8.8.8.8 local-address=192.168.99.1 name=l2tp remote-address=vpn-pool use-encryption=yes
set *FFFFFFFE dns-server=8.8.8.8
/ppp aaa
set accounting=no
/ppp secret
add local-address=192.168.99.1 name=tivanov2 password=SomePass profile=l2tp remote-address=192.168.99.153 service=l2tp

/interface l2tp-server server
set authentication=chap,mschap1,mschap2 enabled=yes ipsec-secret=test max-mru=1460 max-mtu=1400 use-ipsec=required

/ip ipsec policy group
set [ find default=yes ] name=default

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,3des lifetime=8h pfs-group=none
add enc-algorithms=aes-256-cbc lifetime=2h name=sha-aes pfs-group=none
add auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,3des name=default1

/ip ipsec peer
add address=1.1.1.1/32 comment="Site 2 Site Nr1" dh-group=modp1024 dpd-interval=5s dpd-maximum-failures=1 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=Somepass1
add address=2.2.2.2/32 comment="Site 2 Site Nr2" dh-group=modp1024 dpd-maximum-failures=100 enc-algorithm=aes-256 nat-traversal=no secret="Somepass2”
add address=0.0.0.0/0 dh-group=modp1024 dpd-interval=disable-dpd enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-override secret=Somepass3

/ip ipsec policy
set 0 disabled=yes dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes
add comment="Site 2 Site Nr1" dst-address=10.4.117.0/24 sa-dst-address=1.1.1.1 sa-src-address=3.3.3.3 src-address=192.168.99.0/24 tunnel=yes
add comment="Site 2 Site Nr2" dst-address=192.168.64.0/19 proposal=sha-aes sa-dst-address=2.2.2.2 sa-src-address=3.3.3.3 src-address=192.168.99.0/24 tunnel=yes

 

Това вероятно се е появило след ъпдейта. В стария конфиг, който го имам експортиран го няма:

/ppp profile

set *FFFFFFFE dns-server=8.8.8.8

Също така има и някаква default група, която цъфти на всички IPsec peers в /ip ipsec policy group. Пробвах да си създам друга група пак няма ефект. Опитах да си пресъздам тунела както писах горе:

/ip ipsec peer add address=0.0.0.0/0 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="test" generate-policy=port-override policy-template-group=*FFFFFFFF exchange-mode=main-l2tp\ send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=5

И пак няма ефект. Грешката е една и съща.

 

 

Edited by windwalker78
Link to comment
Share on other sites

  • 0

Работата се изясни, след като се зачетох и в горните 2 реда: no template matches. За целта:

/ip ipsec policy
add dst-address=0.0.0.0/0 src-address=0.0.0.0/0 template=yes
 

Благодаря за отделеното време ?

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.