Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Привет, опитвам се да си пусна L2TP/IPSEC PSK.
 

Експеримента го правя с Mikrotik Hap Lite 6.43.7, на него си пускам L2TP/IPSEC PSK.
Микротика е зад Виваком, а клиента ми е зад Теленор.

Всичко е правилно конфигурирано.
Виваком твърди че не филтрира портове.
Въпреки това не се получава връзката.

Това което установих е че OVPN и SSTP тръгнаха, мисля че и PPTP  ще тръгне но не искам, вече не се ползва.
Но L2TP/IPSEK PSK неще, отворил съм му портове 4500 500 1701, дори в DMZ поставих рутера, единствено видях този лог:

Dec  7 05:33:45 192.168.0.1 ipsec,info purging ISAKMP-SA 192.168.0.1[4500]<=>149.62.205.157[17067] spi=c0877cf4bba34e59:85c21167ad7aed1e.
Dec  7 05:33:45 192.168.0.1 ipsec,info ISAKMP-SA deleted 192.168.0.1[4500]-149.62.205.157[17067] spi:c0877cf4bba34e59:85c21167ad7aed1e rekey:1


Та L2TP/IPSEC PSK ако опитам да вържа клиент от локалната мрежа към рутера, тръгва да функционира но от wan клиент не може да се закачи..


Eто лог и при успешен опит да изградя тунел между хост в лана и рутера:

Dec  7 05:47:11 192.168.0.1 ipsec,info respond new phase 1 (Identity Protection): 82.137.109.229[500]<=>192.168.0.104[500]
Dec  7 05:47:13 192.168.0.1 ipsec,info ISAKMP-SA established 82.137.109.229[500]-192.168.0.104[500] spi:51f03362482b248b:425597157390709a
Dec  7 05:47:13 192.168.0.1 l2tp,info first L2TP UDP packet received from 192.168.0.104
Dec  7 05:47:14 192.168.0.1 l2tp,ppp,info,account Taner logged in, 192.168.11.19
Dec  7 05:47:14 192.168.0.1 l2tp,ppp,info <l2tp-Taner>: authenticated
Dec  7 05:47:14 192.168.0.1 l2tp,ppp,info <l2tp-Taner>: connected
 

 

Баси тъпотията доспа ми се...

Заредих си Windows 7 и VPN Тунелът не се изгради.

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Привет. Не, че ми стана ясно какъв е проблемът, но ми прилича на проблем с порт форуърдинг или друго от Вивакомското нещо преди Mikrotik.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 1 час, vstoitsov написа:

Привет. Не, че ми стана ясно какъв е проблемът, но ми прилича на проблем с порт форуърдинг или друго от Вивакомското нещо преди Mikrotik.

Проблемът е че правилно конфигуриран  L2TP/IPSEK PSK сървър не може да бъде достъпен от външна мрежа, но в локална функционира, именно за това си мисля че сървърът е правилно пуснат, и проблемът е пренасочването на портове или нат.

Интересното обаче е че ако поставя в DMZ  Микротика , като натна всеки протокол и порт за айпито на микротик, по този начин се постигало DMZ в микротик.. Пак сървърът е недостъпен отвън, а когато хост е в DMZ, няма затворени портове и би трябвало да няма грижи с портовете и съм объркан...

Нета на виваком е оптичен и идва до дома с оптичен кабел, влиза в Alcatel lucent ont устройство, от където по мед отива до тъп суич, към който се връзват IPTV STB приемници и Микротика, Микротика по DHCP си взима статичен IP адрес публичен, като в майконтактс е посочен неговият мак адрес за да се получи.
Тоест микротика е директно свързан .

Направих и друга врътка,  след микротика имам и ZTE рутер на виваком, във Микротика му казвам постави ZTE в DMZ, в ZTE казвам постави микротика в DMZ, и пак същият резултат....

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Мисълта ми е, че по спомен Виваком позволяват форуърд само на 1 порт към вътрешно IP от майконтактс. Това направил ли си точно към вътрешното IP  на Микротик (явяващо се WAN за Микротика) ?

ПП: Щом ти работи от LAN значи правилно си го конфнал на Микротика. Търси проблема във Вива оборудването.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Значи във IP/FIRAWALL NAT имам 4 правила:
3 правила за отваряне на портове и едно правило за нат на IP адреси от мрежата на пула за L2TP клиенти

за порт 1701:

В дженеръл имам това сетнато:
Chain input
Protocol UDP
DST PORT 1701
IN INTERFACE ether1

в екшън имам това сетнато:
ACTION DST NAT
TO ADDRESS 192.168.0.1
To ports 1701

Всичко останало е дефолтско.


За порт 500:

В дженеръл имам това сетнато:
Chain input
Protocol UDP
DST PORT 500
IN INTERFACE ether1

в екшън имам това сетнато:
ACTION DST NAT
TO ADDRESS 192.168.0.1
To ports 500

За  порт 4500:

В дженеръл имам това сетнато:
Chain input
Protocol UDP
DST PORT 4500
IN INTERFACE ether1

в екшън имам това сетнато:
ACTION DST NAT
TO ADDRESS 192.168.0.1
To ports 4500

И още едно правило за натване на L2TP пула от IP адреси:

В дженеръл таба имаш:
Chain srcnat
src address 192.168.12.0/24

в екшън таба имаш:
action Masquarade.


Във филтър правилата имам 5 правила:

за 1701:
в дженеръл:
Chain input 
Protocol udp 
dst port 1701
in interface ether1

в екшън:
action accept



 

за 500:
в дженеръл:
Chain input 
Protocol udp 
dst port 500
in interface ether1

в екшън:
action accept



 

за 4500:
в дженеръл:
Chain input 
Protocol udp 
dst port 4500
in interface ether1

в екшън:
action accept


 

за ipsec ah:
в дженеръл:
Chain input 
Protocol udp ipsec ah 51
in interface ether1

в екшън:
action accept


 

за ipsec esp:
в дженеръл:
Chain input 
Protocol udp ipsec esp 50
in interface ether1

в екшън:
action accept

преди 17 минути, vstoitsov написа:

Мисълта ми е, че по спомен Виваком позволяват форуърд само на 1 порт към вътрешно IP от майконтактс. Това направил ли си точно към вътрешното IP  на Микротик (явяващо се WAN за Микротика) ?

ПП: Щом ти работи от LAN значи правилно си го конфнал на Микротика. Търси проблема във Вива оборудването.

Maй се бъркаш нещо, ситемата в майконтакст управление на мрежата е пряко свързан със ZTE Рутерът, за да може дасе управялва рутерът от там, през уеб, каквото можеш там, го можеш и физически ако имаш достъп до ZTE рутерът,


Но в случаят ZTE рутерът е вън от играта, не играе роля, защото нета на виваком влиза във WAN порта на микротика а не на ZTE.

И пак да спомена, успешно съм си отворил портове за чат сървър Openfire, портове за VOIP телефония Asterisk, портове за IPTV телевизия TVHEADEND, порт за SSH до Микротика.
Както и портове за OVPN и SSTP, и всички тези услуги си вървят нормално но само L2TP/IPSEK PSK неще.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не се бъркам, но да имах предвид ZTE. Както и да е. Виж явно Виваком ти режат разни портове. Пробвай на друг порт да настроиш достъпа от Микротик, някой евентуално неорязан. И ясно, че е ок в Микротика конфига щом ти работи ок от LAN.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 11 минути, vstoitsov написа:

Не се бъркам, но да имах предвид ZTE. Както и да е. Виж явно Виваком ти режат разни портове. Пробвай на друг порт да настроиш достъпа от Микротик, някой евентуално неорязан. И ясно, че е ок в Микротика конфига щом ти работи ок от LAN.


Нали твърдят че няма нищо орязано и всичко идвало до клиента по DHCP :D

Ок но как да променят портовете от стандартни на нестандартни?

имам цели 5 порта

всъщност 5 са във филтър правила и 3  в нат правила.

във филтър правила
50
51
1701
500
4500


във нат правила
1701
500
4500

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Твърдението е едно, реалността е друга. По DHCP се взимат само IP, DG, Netmask и DNS-и, а какво имат те от тяхна страна конфнато на рутерите бабите от *123 и да питаш няма да може да ти кажат. Иначе не знам как точно се променя моя рутер борд умря при токов удар и нямам в момента.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 3 минути, vstoitsov написа:

Твърдението е едно, реалността е друга. По DHCP се взимат само IP, DG, Netmask и DNS-и, а какво имат те от тяхна страна конфнато на рутерите бабите от *123 и да питаш няма да може да ти кажат. Иначе не знам как точно се променя моя рутер борд умря при токов удар и нямам в момента.

Ами бабички и лелки не успях да чуя, все млади каки ми вдигат или полузаспали пичове, днес им звънях в 4 часа сутринта, вдигна един пич и каза пич хаплайта не става за VPN сървър....
А като му казах че цели три VPN протокола вървят, запя друга песен че фърмуерът на микротика може да създава грижи.
Попитаме дали имам сертификат за IPSEC, аз не, каза че без сертификт нямало да тръгне, а аз през лан  че сървърът върви и той пак захапа фърмуера на микротик а аз че опитах с версия 6.43.2 и 6.43.7  а той ползвал 6.42...
Нямаше какво да си кажем повече.
 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 21 минути, Танер Заит Расим написа:

Ами бабички и лелки не успях да чуя, все млади каки ми вдигат или полузаспали пичове, днес им звънях в 4 часа сутринта, вдигна един пич и каза пич хаплайта не става за VPN сървър....
А като му казах че цели три VPN протокола вървят, запя друга песен че фърмуерът на микротика може да създава грижи.
Попитаме дали имам сертификат за IPSEC, аз не, каза че без сертификт нямало да тръгне, а аз през лан  че сървърът върви и той пак захапа фърмуера на микротик а аз че опитах с версия 6.43.2 и 6.43.7  а той ползвал 6.42...
Нямаше какво да си кажем повече.
 

Ами имал си все пак голям късмет. Аз когато им пробвах услугите - от там една седмица не можеха да намерят кой знае как да ми сложат статично IP,  което се полага по договор, но при поискване. Е отказах се от тях - и не съжалявам. Иначе от както ми изгоря Микротик борда съм с Pfsense и без много грижи всичко, което ми трябва ми работи. 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 16 минути, vstoitsov написа:

Ами имал си все пак голям късмет. Аз когато им пробвах услугите - от там една седмица не можеха да намерят кой знае как да ми сложат статично IP,  което се полага по договор, но при поискване. Е отказах се от тях - и не съжалявам. Иначе от както ми изгоря Микротик борда съм с Pfsense и без много грижи всичко, което ми трябва ми работи. 

Че това със статичното публично IP нямаш нужда да търсиш тяхната помощ, през майконтактс управление на мрежата, можеш да превключиш  от динамични на статични и си посочиш мак адреса на wan порта на рутерът, който ще закачаш, и той ще си вземе статичното айпи по dhcp.

Би имал нужда от помощ от тях, само ако  в майконтактс нямаш опция за смяна от динамични към статично айпи.

Това означава че някой не си е свършил работата по договора и не е осигурил тази възможност.

Не се учудвай, тези които са на телефоните са първо ниво на съппорт,и могат да правят елементарните неща, за по сериозните неща ескалират към по следващо ниво.
Но в честата практика, за сериозни неща не мога да ти помогнат, защото не им влиза в работата или не са запознати или не могат защото не знаят.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

В 13 етажен блок без устройство, само с LAN кабел нямаше как. Както и да е. Виж не можеш ли друг по-нестандартен порт да наконфиш в Микротика и да заможеш и от вън да се свържеш...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 9 минути, vstoitsov написа:

В 13 етажен блок без устройство, само с LAN кабел нямаше как. Както и да е. Виж не можеш ли друг по-нестандартен порт да наконфиш в Микротика и да заможеш и от вън да се свържеш...

Сложно ми се вижда, не е като OVPN или SSTP.


За L2TP/IPSEC PSK дали не е нужно и клиентът да си отвори портове 500 и 4500?

Имам спомени че преди година пусках L2TP/IPSEC PSK или чист L2TP тунел между два Mikrotika, единя беше  клиент а другия сървър и се получи,теста беше между Blizoo и Vivacom. Подозирам че съм ползвал тогава само 1701 и е бачкало но с разликата че и клиентът от своя страна е зад нат, в същото време и сървърът беше зад нат от своята страна.
Директно клиент не можех да закача и стана като сложих клиента след микротик рутер клиент за микротик L2TP сървъра.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Стана ми интересно и до сега това четох. Значи излиза, че ако ползваш тяхното оборудване няма начин. Ти си написал, че оптиката им реално влиза директно в WAN порта на Микротик-а. Тогава би трябвало да стане и да четох, че тези портове 500 и 4500 не може да се променят, което е жалко, но май както казваш не е лошо да се провери дали са отворени и при клиентите. Тази ми мисъл е породена от това, че имаш други сървизи, които ти работят на този Виваком, с този Микротик и на това място.

ПП: След, като клиента ти е на Теленор явно е Андроид - което прочетох, че трябва следното за него - set vpn l2tp remote-access authentication require mschap-v2.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Искаш ли да пробваш да се закачиш, че нямам мрежа друга наоколо, че не ми се занимава сега да чупя WPA и WPA2 пароли.
Снощи счупих една но сигналът е слаб, и се налага да опъвам едни наностейшъни за да се закача за едни 3 мегабита трафик .

Трябва в рутерът си да си отвориш  UDP портове 1701, 500 и 4500 за IP адреса на твоята уиндоус машина.
В твоята уиндоус машина трябва да си създадеш VPN мрежа в която да посочиш моят публичен айпи адрес  име парола и секретен ключ.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Това може да го пробваме след 6 до тогава съм на работа от разстояне през VPN.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Подсказаха ми че решението е в PPP в таб Secret, съответно във профила на потребителя настройките трябва да включват и Remote Address от Pool на VPN протокола, в случая от Pool-a създаден за L2TP,  защото при L2TP има грижа че клиентът не може да си вземе адрес от Pool-a, за това ръчно се дава адрес, и нещата тръгват.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...