Форум программистов, компьютерный форум, киберфорум
Mikrotik
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.71/7: Рейтинг темы: голосов - 7, средняя оценка - 4.71
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
1

Настройка VPN между Mikrotik и iOS клиентом

07.04.2021, 20:03. Просмотров 1403. Ответов 21


Помогите разобраться с настройкой VPN для мобильных клиентов находящихся в сотовой сети.

Юзал этот гайд: https://smartadm.ru/mikrotik-l2tp-server-ipsec/

Микрот говорит что соединение успешно устанавливается
Код
respond new phase 1(): IP микрота <=> IP клиента[49611]
ISAKMP-SA established ip<=>ip spi=123456789..............
Но потом яблоко отваливается со словами "Сервер L2TP-VPN не ответил".

И микрот удаляет подключение
Код
purging ISAKMP SA ip<=>ip spi=123456789......
ISAKMP-SA deleted
В общем, опыта в этом не имею, поэтому либо ткните что донастроить, или может вообще по другому гайду все сделать.
VPN нужен для доступа к одному внутреннему серваку из вне. Простой NAT свое дело выполняет, но хочу попробовать что-нибудь позащищенней открытого порта.
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
07.04.2021, 20:03
Ответы с готовыми решениями:

Настройка site-to-site VPN между Kerio и Mikrotik
Добрый день! Есть задача - настроить VPN-соединение между офисами. В удаленном - Kerio Control....

Настройка маршрутизации между локальной сетью и интернетом по VPN на MikroTik-RB951G-2HnD, RouterOS v6.1
Здравствуйте. Имеется 1. Роутер MikroTik-RB951G-2HnD с операционной системой RouterOS v6.1; 2....

VPN между Mikrotik и Tp-Link
Есть два помещению в одном mikrotik а во втором Tp-Link нужно организовать удаленных доступ к...

Нужно настроить vpn соединение между ftp сервером и клиентом
Мне нужно настроить vpn соединение между ftp сервером и клиентом (между ними должен быть vpn...

21
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
07.04.2021, 20:23 2
Не люблю я эту автонастройку ipsec после прописания ключа в L2TP.
Настройте ipsec вручную
http://www.bubnovd.net/2016/10... 0.html?m=1
Потом параметры шифрования и аутентификации вручную подберете под ios
Тут кстати есть советы по параметрам:
https://www.timigate.com/2018/... erver.html

Рекомендованные параметры для iOS с wiki mikrotik

https://wiki.mikrotik.com/wiki... .29_Client

Добавлено через 1 минуту
proposal changes are needed:

does not work with 3des encryption algorithm, aes-128/256 works
auth algorithm must be sha1
PFS group must be none
lifetime must be 8 hours
0
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
07.04.2021, 20:40  [ТС] 3
В том гайде есть трабла в разделе /ip ipsec peer - у меня такого большого меню вообще нет, консоль тоже не знает ничего подобного enc-algorithm, generate-policy и policy-template в разделе peer.
У микрота в вики тоже неточности - ни в терминале, ни в менюшке IPSec нет раздела user и раздела peer :/
Пробовал как-то настроить RoadWarrior, но уперся в отсутсвующие у меня на микроте вещи.
ROS 6.48.1


P.S.
Вот что у меня
https://www.cyberforum.ru/atta... 1617817442
Вот что в гайде
https://4.bp.blogspot.com/-g2h... 6_peer.PNG
0
Миниатюры
Настройка VPN между Mikrotik и iOS клиентом  
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
07.04.2021, 21:10 4
То, что там во вкладке peer настраивалось, у вас будет в трёх вкладках: peers, identities, profiles
Это все было в прошивках ранее.
Сейчас первая фаза настраивается для статического пира так:
Создаётся профиль в profiles.
Профиль привязывается к peer, а пир к identity

https://настройка-микротик.укр... u-ofisami/

У вас только будет использоваться policy-template-group
0
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
07.04.2021, 22:19  [ТС] 5
Перебрал по очереди все что было по ссылкам. Попробовал разные алгоритмы, выставил те что рекомендуют(MD5, aes256, modp2048), выставил lifetime, проверил файрволл. Добавил правила для логов PPP и IPsec. И посмотрел статус соединения в Policies.

В общем, при каждом подключении микрот накатывает простыню больше, чем лог может вывести - но тем не менее никаких "denied", "failed" или чего-то хуже в логах нет, все вроде успешно коннектится и обменивается данными
В Policies во время подключения появляется соединение со статусом dynamic, enabled, active. PH2 state показывает established.
Но потом все срывается. ИМХО со стороны клиента-яблока.
0
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
07.04.2021, 22:33 6
1. Какие параметры сейчас в proposal и profiles (шифрование, хэш, lifetime, dh) .
2. Дефолтную группу пересоздали? Если нет создайте и свяжите через неё template-policy и identity (в generate policy должно стоять port strict)
3. Nat-t включён в profiles? Если нет, включите.
4. В peers выставлено passive=yes?
5. С nat-t достаточно в filter на input открыть dst-port 4500 udp, а в самый верх filter на input поставить правило с established,related
0
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
07.04.2021, 22:49  [ТС] 7
1) Proposal md5/aes-256cbc, lifetime 8h, PFS none
Profile hash md5, enc aes-256, DH modp2048, DPD interval 120s
2) Да, все настраивал с учетом новосозданной группы. Насчет policy - сначала у меня стояло port strict - не работало, поменял на port overrride - не помогло.
3) NAT traversal включен все время.
4) Peers passive=yes.
5) Established, related разрешены были всегда, также создал правила для 1701, 500 и 4500. Траффик по портам идет, уже накапало по паре килобайт (пара десятков пакетов) за все эти попытки подключения.
0
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
07.04.2021, 23:12 8
2. Port strict должно быть
5. 500 с nat-t в ike не используется, вместо него 4500
А 1701 будет упакован в ipsec


Ну да ладно...
Proposals:
aes-128/256 CBC
auth algorithm must be sha1
PFS group must be none
lifetime must be 8 hours (08:00:00)
Profiles
Sha1
aes-128/256


DH modp1024 (попробуйте ещё два варианта: 1024 и 2048 вместе и ещё вариант с none) не помню точно.
Lifetime 1d 00:00:00
0
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
07.04.2021, 23:27  [ТС] 9
Все выставил как написали, попробовал DH 1024 и 2048 both (none варианта нет вроде.) В конце выставил все параметры и в templatеs, и обновил трубку до 14.4.2

Все тоже самое, коннект обрывается.
0
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
08.04.2021, 06:34 10
None - это когда ничего не выбрано.
lifetime в policies поменяли?
Port strict выставили?
Попробуйте ещё агрессивный режим выставить, ради эксперимента.
Включите в логах ipsec и покажите полный лог, дебаг с микротика
0
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
08.04.2021, 16:53  [ТС] 11
Да, DH не дает оставлять пустым, а в терминале опции null,none и т.п. не канают
Лайфтаймы выставил, port strict.
Aggressive не дает выставить - пишет Only one DH group supported in aggressive mode.

Лог - https://dropmefiles.com/Xtjvz
0
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
08.04.2021, 17:23 12
Сейчас какие параметры стоят в profiles и proposal?

Лог
Лучше на самом деле лог, а не дебаг
0
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
08.04.2021, 18:03  [ТС] 13
Сейчас Profile: hash sha1; prf auto; encrypt aes-128,aes256; DHG modp1024,modp2048; Lifetime 1d; DPD 120s
Proposal auth sha1; encr aes-128 cbc, aes-256 cbc; Lifetime 08h

Цитата Сообщение от insect_87 Посмотреть сообщение
Лучше на самом деле лог, а не дебаг
Согласен, дописал !debug, теперь это все много читабельнее.
https://dropmefiles.com/KKgIm


В логе написано
Код
authtype mismatched: my:hmac-sha1 peer:hmac-sha256
Но изменение auth на sha256 ничего не дает. :\
https://dropmefiles.com/99pED
0
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
08.04.2021, 18:51 14
Меняли на sha256 где?
В настройках политики isakmp/ike?
0
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
08.04.2021, 18:56  [ТС] 15
Сначала поменял для auth, а потом попробовал поменять и Proposal и Profiles и подключиться.
Но все без изменений.
0
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
08.04.2021, 19:24 16
Даже не знаю теперь, у нас iOS без проблем подключаются к серверам на ROS.
IOS обновляли? Или это макбук

Пробуйте ещё менять параметры в первой фазе.
0
1 / 1 / 1
Регистрация: 30.11.2019
Сообщений: 30
08.04.2021, 19:28  [ТС] 17
Да, буквально вчера трубку обновил до 14.4.2
А какие параметры у микрота отвечают за phase 1 negotiation? DPD, lifetimes - что еще попробовать?
0
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
08.04.2021, 19:48 18
Фаза 1 настраивается во вкладках profiles, peers, identities

DPD, lifetimes - что еще попробовать?
Шифрование, хэш,
Все то, что в profiles
0
165 / 163 / 53
Регистрация: 08.11.2010
Сообщений: 1,466
09.04.2021, 18:39 19
Вот такая есть небольшая подсказка.
Настройка VPN между Mikrotik и iOS клиентом
0
Эксперт по компьютерным сетям
8388 / 5620 / 1394
Регистрация: 25.12.2012
Сообщений: 23,830
09.04.2021, 18:47 20
allukard, у меня по ключу, а не сертификату работают без проблем.
+ шифрование aes в обоих туннелях
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
09.04.2021, 18:47

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

IPSec VPN между Mikrotik и Cisco
Есть ЦО где стоит циска, есть офис где микротик. У офиса провайдер так себе поэтому канал...

VPN между TP-Link TL-WR1045ND и MikroTik RB941-2nD-TC
Приветствую Вас, уважаемые коллеги и участники форума. Появилась следующая задача: поднять VPN...

VPN между Mikrotik RB751 и Zyxel Keenetic Giga II
Доброго всем. Столкнулся со следующей проблемой. 1) На кинетике поднял штатный VPN-сервер. Кинетик...

Настройка связи между клиентом и сервером
Пишу курсовую, тема звучит примерно &quot;Программа для текстовых конференций&quot;, но хочу еще добавить...

Настройка IPSEC VPN между используя DMVPN между R_1 и R_2
Добрый день! Выполняя лабораторную работу столкнулся с проблемами. Буду благодарен за помощь ! ...

Mikrotik как клиент VPN, максимальное количество VPN подключений
Добрый день, хотелось бы знать сколько можно максимально создать на Mikrotike PPTP или OVPN...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.