L2tp + IPSec как vpn site to site
HTML-код
- Опубликовано: 12 фев 2020
- Помогаем в Telegram: @MikTrain (teleg.run/miktrain)
====ОПИСАНИЕ ВЕБИНАРА====
Существует множество вариантов организации защищенных туннелей между офисами. Один из вариантов L2tp + ipsec. Несмотря на то что обычно данная связка используется как способ подключения мобильных сотрудников к офисным ресурсам у нее есть свои плюсы в схеме сеть-сеть. На вебинаре поговорим о плюсах. Поговорим о том как сделать ipsec на сертификатах для работы с l2tp.
Консультации и помощь по MikroTik в нашем Telegram-канале: teleg.run/miktrain
Презентация
bit.ly/2HoOXN6
#Mikrotiik, #RomanKozlov, #L2tp, #IPSec Наука
Роман, спасибо вам большое, в голове много чего прояснилось то, что делал не понимая!
Крутой веббинар 👍
Просто ОТЛИЧНО, особенно моменты с EVE )) очень понравилось!
Отличный получился вебинар! Даже с элементами траблшутинга ;) !
Спасибо Роману!!!!
1:14:45 - Спасибо огромное, а то со стандартными значениями WEB сервер еле-еле работал, а теперь все ОК! Столько дней ломал голову...
Жаль конечно не рассмотрели детальную настройку параметров шифрования. Там тоже есть свои интересные нюансы. Скажем при создании своих профилей шифрования в сочетании с использованием шаблонов политик IPsec не работает их связывание через IPsec Groups на стороне клиента (а на стороне сервера - пожалуйста). Из-за чего приходится таки портить дефолтные профили. Причём на первый взгляд кажется, что это какой-то баг, но нет - в WiKi написано, что это таки фича (правда очень как-то вскользь это упоминается).
Ну и в целом конечно много всяких мелочей осталось за кадром. Хотя объективно это привело бы к распуханию вебинара ещё на час-другой.
Отдельное спасибо кстати за описание параметра Caller ID Type и что его можно использовать для подключения нескольких клиентов из-за одного NAT'а. В WiKi этот параметр не описан.
Спасибо, Роман. Подскажите как правильно прописать маршруты для 3 роутеров (1 сервер l2tp и 2 клиента). Так чтобы 3 сети видели друг друга. Спасибо
ipv6-адрес с микротика клиенту в туннель с маршрутами. было бы здорово, если появится такой вебинар.
15:58 начало
35:45 же, нет? )
00:00 же, нет?@@vanderdt2
Подскажите есть ли видео как подружить l2tp Ipsec mikrotik и mac os?
А вот по вопросу по открытию на Firewall на сервере. С Input цепочкой то всё ясно что её надо открыть. А как правильнее открывать forward цепочку на трафик идущий из одного офиса в другой?
Может быть подскажите? После настройки один клиент подключается отлично, второй подключается первый отваливается. Клиенты за NAT оба выходят через один IP учетные записи разные. Как исправить?
Все понятно. Спасибо очень доходчиво. Есть вопрос!!! Настроил 2 микротика шифрованный канал. Настроил фаервол как у вас. Почему в фаерволе правила accept 170 500 4500 в статистике ничего нет. Пробовал отключать эти правила. Канал продолжает работать. В конце правил фаервола, как у вас, все дропается.
Все настроено по мануалу и работает как нужно в режиме site to site. Но если подключаться с клиента Windows , подключается без импорта на сторону клиента всяких сертификатов. Баг??? Версия ROS 6.46.8
здраствуйте можете помочь как на rb1100 втарую подсетку поднять
Добрый день\вечер. После полугода работы vpn L2tp , отвалился сервер. Ошибка при подключение "Попытка l2tp не удалась из за ошибки произошедшей на уровне безопасности во время согласования" При этом все остальное работает (проброс портов без vpn и доступ ). Настройки стандартные, добавил только vpn, обновления только с исправлением ошибок. Буду признателен если подскажите в чем подвох.
ссылка на презентацию не рабочая
я первый)
Почему 1701 цепочка forward а не input?
Ошибся. Естественно там input.
Кстати можно ещё в этом правиле добавить ipsec-policy=in,ipsec. Это не даст установиться L2TP подключению без шифрования (если по какой-то причине ipsec отвалился).
Пример:
add action=accept chain=input comment="Accept L2TP from all WAN interfaces (if IPsec in policy exists)" dst-port=1701 in-interface-list=all-WAN ipsec-policy=in,ipsec protocol=udp
эх, даже ipsec в микротике через задницу сделан =(
Мне кажется или багов с каждым годом все больше и больше?
если сервер vpn (mikrotik) находится за nat реально сделать l2tp+ipsec ?
Пробрасывайте порты 4500 500 на сервер и будет работать
1701 тоже для l2tp
У меня l2tp +ipsec на Убунту сервер стоит. Андроид подключается отлично. Убунту (клиент) не смог подключить((
Выкрутился - по ssh тоннель сделал.
Ubuntu из коробки не поддерживает L2TP/IPsec. Надо два пакета доустановить и поддержка будет. В т.ч. с настройкой через GUI.
@@user-pu4we1xj8r да, но что-то не понял видать)
Не эмулятор виноват, они себя так и в жизни ведут)
с никитой тарыкиным скооперируйтесь по этой теме
Только вчера пытался сам настроить l2tp на микротике...
В интернете 3 с половиной инструкции и все блин РАЗНЫЕ. Вариативность это круто в RPG но блин не настройке роутера и не в его интерфейсе.
Посмотрев видео окончательно убедился что mikrotik это не про "настроил и забыл" а " помучился и забил"
Если даже у человека с таким опытом возникают проблемы то что уж говорить про обычных, пусть даже опытных пользователей.
В итоге переход с keenetic на mikrotik отложил в долгий ящик.
Не знаю как там с site-to-site, но в роли L2TP IPsec сервера для динамического подключения удалённых, да и локальных клиентов Микротик настраивается довольно просто. Лично делал две недели назад. Единственная проблема, с которой я столкнулся, и пока не нашёл решения (потому что это явно какая-то очень специфичная хрень) - то, что ровно каждые 7 часов (плюс-минут 10 минут) сервер рубит соединения с клиентами из-за того, что якобы они не отвечают на запросы магическими пакетами, но это уже мелочь, т.к. переподключение делается мгновенно.
Инструкции разные потому что за последнюю пару лет там конкретно перелопатили PPP и IPsec. Если уж на то пошло, то и для Кинетика можно до сих пор найти разные варианты инструкций по настройке L2TP IPsec сервера. Да и вообще, VPN и шифрование трафика редко бывает безгеморройным, я даже с Кинетиком долбился в своё время дольше, чем с Микротиком из-за его общей "домохозяечной" сущности (тот факт, что к целому ряду тонких настроек там можно получить доступ только через архаичный CLI уже о многом говорит).
Icipher Посоветуйте пожалуйста актуальную инструкцию. Никак не могу настроить VPN server на Микротик. В последних прошивках вс> поменяли
@@vesselcourt pptp?
MikroTik это не для пользователей вообще. Без знаний на уровне курса MTCNA и основ работы сетей к нему даже притрагиваться не стоит. По мануалам из интернета настраивать дохлый номер - в большинстве случаев они не правильные.
Если Вы сисадмин, то пройдите курсы MTCNA и MTCTCE (как минимум) и тут Вы поймёте, что всё чем Вы пользовались раньше это всё полная шляпа. А так же приходит понимание, что если что-то не настраивается, то скорее всего дело не в Микротике, а просто тебе самому знаний не хватает.
Ну а если Вы не сисадмин, то берите Keenetic или роутеры на OpenWrt - для бытового применения то что надо.
@@user-pu4we1xj8r как же я это пытаюсь настроить без образования Админа...))
как же я ушатался в своём время дружить через ipsec- kerio control и микрота -site to site.......
причем тут вообще site-to-site если это клиент-сервер, site-to-site обычно строят чисто на IPSec
Красиво конечно. но для не совсем опытных не понятно. Канал расчитан на людей которые уже в теме конкретно с микротом не один пяток лет. Расчитано скорее на костяк сформировавшихся людей. не в обиду автору, но скорее не учишь, а больше как (знаете как есть учителя, преподы отчитали тему получили зп и им насрать понял кто что то или нет)
Ну уж определись, или развлекаться, или вещать, а то вот так непрофессионально получается с этими накладками. Исправляйтесь.
Так наоборот интереснее, иначе можно просто видео смотреть, где показывают какие кнопочки нажимать.
меедленный как трафик
какие же микротики глючные. Рекомендуются тем, кому скучно на работе :))
если руки кривые то все глючное