iocsha

Le ecureuil , я совсем на немного mikrotik 3011 брал с работы , было интересно за ним как поведёт l2tp ipsec сервер настроенный на keenetik giga3 в режиме точка доступа(вообще не плохо так на точку доступа навесить ещё l2tp ipsec c аппаратным шифрованием в лице Keenetik giga 3) .В личку скинул селфтесты. Ошибка 809 в винде клиенте . Если на микротике настроить с теми же данными логином , паролем и первичным ключом , то там всё пропускало и коннектилось на той же самой машине клиенте win 7. 192.168.1.1 это роутер mikrotik(Dnat ом проброшены UDP 500 ,1701,4500 порты на 192.168.1.37 и видно что счётчик пакетов через порт увеличился при подключении ) , 192.168.1.37 это точка доступа с l2tp Ipsec keenetik, в режиме точка доступа. self-test.txt log.txt

Le ecureuil , cкажите пожалуйста , в режиме работы роутера как точки доступа , lt2tp +Ipsec сервер на keenetik может работать ? Разумеется на него переброшу Udp 500 ,1701,4500 порты. У меня что-то не пошло.

Это точно , я раз ради интереса попробовал на старом дизайне настроить и в итоге пришлось на заводские сбрасывать , роутер завис . Так что либо через CLI, либо через новый дизайн

Я настраивал через новый веб дизайн , а также вручную через CLI, на последней прошивке веб правильно конфигурит , всё работает. Вообщем на последней пришивке работает и через настройку CLI и через настройку нового веб дизайна. Главное не забыть после настройки включить сервис l2tp ipsec

у меня нет проблем , работает по 7 часов в день(Win7 pro лиценз.) по туннелю с домом , не рвётся соединение . У меня правда только L2TP Ipsec , Virtual Ip всю конфигурацию стёр. 3 день без особых проблем.

Это просто супер , если было в планах реализовать - было бы не плохо(даже CLI только хватит). Ясно что не всем надо .но тема классная. L2TP ipsec , Virtual IP lда и ещё SSTP - полный набор.

Про sstp это нормальная тема по 443 Порту SSL проносится , минуя все брандмауэры , как по маслу. Регулярно пользуюсь на микротике. Понятно что многим это не нужно , да и там сертификаты требуются. Но идея классная ! а так L2TP/IPsec , если не прикрыто провайдером , то отличная штука. Но насколько мне известно фишка сугубо виндовая, вроде под nix нет открытой реализации. Микротки сами писали походу.

Меня определённо радует как работает L2Tp+ipsec сервер (настроено по рецепту через CLI), и на IOS,андройд и win7,10 - всё стабильно по 7 часов без разрыва , на разных провайдерах (ёта, билайн к ростелекому gpon ) У virtual Ip разрывы были частым явлением. Респект разработчикам !

а ключ как задавали ? crypto ike key VPNL2TPIPsecServer ключ1 any crypto ike key VPNVirtualIpServer ключ1 any

да если настроить из CLI, удалив конфигурацию от VirtualIP , то всё работает , про crypto ipsec incompatible вот только сейчас и узнал , да и ещё ключи были разные, спасибо за совет. У меня вопрос, когда появится из веба работоспособная конфигурация , она будет затерать существующий конфиг по l2tp ipsec настроенном из CLI ? Или надо будет всё стереть и заново настроить из веб интерфейса ? На самом деле при работающем L2TP IPSEC , Virtual Ip по большому счёту и не нужен. ikev2 предвидится ?

да один(VirtualIP) отключается но к l2tp ipsec не коннектится в любом случае у меня из настройки веб конфигуратора. Я и отключал VirtualIp , но сам компонент не удалял . Походу в конфиге после веб конфигуратора не хватает crypto ike key VPNL2TPServer

Через веб сконфигурил l2tp ipsec + был virtualIp server . к VirtualIP конектится, а к l2tp ipsec клиент не конектится(788 ошибка в винде на уровне безопасности не удалось согласовать параметры с удалённым компьютером ). Получается 2 сервера VirtualIp и L2TP Ipsec пока совместно не могут работать ? Прошивка самая последняя для гига3 . Отключение VirtualIp в веб конфигураторе не помогло. Из CLI не настраивал ,всё настроено с помощью веб beta в первый раз. На роутере : Oct 16 11:10:31ipsec 16[IKE] received MS NT5 ISAKMPOAKLEY vendor ID Oct 16 11:10:31ipsec 16[IKE] received NAT-T (RFC 3947) vendor ID Oct 16 11:10:31ipsec 16[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Oct 16 11:10:31ipsec 16[IKE] received FRAGMENTATION vendor ID Oct 16 11:10:31ipsec 16[IKE] 188.162.65.147 is initiating a Main Mode IKE_SA Oct 16 11:10:31ipsec 16[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Oct 16 11:10:31ipsec 16[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Oct 16 11:10:31ipsec 16[IKE] no proposal found

А что теперь будет вместо accel-ppp ? Или его переработаете ?

ясно , спасибо за информацию .

Да именно так и есть , а не планируется ? Или Virtual IP не поддерживает IKEAv2 ?