|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|||||||||||
Настройка VPN между Mikrotik и iOS клиентом07.04.2021, 20:03. Показов 22819. Ответов 22
Юзал этот гайд: https://smartadm.ru/mikrotik-l2tp-server-ipsec/ Микрот говорит что соединение успешно устанавливается
И микрот удаляет подключение
VPN нужен для доступа к одному внутреннему серваку из вне. Простой NAT свое дело выполняет, но хочу попробовать что-нибудь позащищенней открытого порта.
0
|
|||||||||||
( Лучшие ответы (1)
| 07.04.2021, 20:03 | |
|
Ответы с готовыми решениями:
22
Настройка site-to-site VPN между Kerio и Mikrotik Настройка маршрутизации между локальной сетью и интернетом по VPN на MikroTik-RB951G-2HnD, RouterOS v6.1 VPN между Mikrotik и Tp-Link |
 
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 07.04.2021, 20:23 | |
|
Не люблю я эту автонастройку ipsec после прописания ключа в L2TP.
Настройте ipsec вручную http://www.bubnovd.net/2016/10... 0.html?m=1 Потом параметры шифрования и аутентификации вручную подберете под ios Тут кстати есть советы по параметрам: https://www.timigate.com/2018/... erver.html Рекомендованные параметры для iOS с wiki mikrotik https://wiki.mikrotik.com/wiki... .29_Client Добавлено через 1 минуту proposal changes are needed: does not work with 3des encryption algorithm, aes-128/256 works auth algorithm must be sha1 PFS group must be none lifetime must be 8 hours
0
|
|
|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|
| 07.04.2021, 20:40 [ТС] | |
|
В том гайде есть трабла в разделе /ip ipsec peer - у меня такого большого меню вообще нет, консоль тоже не знает ничего подобного enc-algorithm, generate-policy и policy-template в разделе peer.
У микрота в вики тоже неточности - ни в терминале, ни в менюшке IPSec нет раздела user и раздела peer :/ Пробовал как-то настроить RoadWarrior, но уперся в отсутсвующие у меня на микроте вещи. ROS 6.48.1 P.S. Вот что у меня https://www.cyberforum.ru/atta... 1617817442 Вот что в гайде https://4.bp.blogspot.com/-g2h... 6_peer.PNG
0
|
|
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 07.04.2021, 21:10 | |
|
То, что там во вкладке peer настраивалось, у вас будет в трёх вкладках: peers, identities, profiles
Это все было в прошивках ранее. Сейчас первая фаза настраивается для статического пира так: Создаётся профиль в profiles. Профиль привязывается к peer, а пир к identity https://настройка-микротик.укр... u-ofisami/ У вас только будет использоваться policy-template-group
0
|
|
|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|
| 07.04.2021, 22:19 [ТС] | |
|
Перебрал по очереди все что было по ссылкам. Попробовал разные алгоритмы, выставил те что рекомендуют(MD5, aes256, modp2048), выставил lifetime, проверил файрволл. Добавил правила для логов PPP и IPsec. И посмотрел статус соединения в Policies.
В общем, при каждом подключении микрот накатывает простыню больше, чем лог может вывести - но тем не менее никаких "denied", "failed" или чего-то хуже в логах нет, все вроде успешно коннектится и обменивается данными В Policies во время подключения появляется соединение со статусом dynamic, enabled, active. PH2 state показывает established. Но потом все срывается. ИМХО со стороны клиента-яблока.
0
|
|
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 07.04.2021, 22:33 | |
|
1. Какие параметры сейчас в proposal и profiles (шифрование, хэш, lifetime, dh) .
2. Дефолтную группу пересоздали? Если нет создайте и свяжите через неё template-policy и identity (в generate policy должно стоять port strict) 3. Nat-t включён в profiles? Если нет, включите. 4. В peers выставлено passive=yes? 5. С nat-t достаточно в filter на input открыть dst-port 4500 udp, а в самый верх filter на input поставить правило с established,related
0
|
|
|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|
| 07.04.2021, 22:49 [ТС] | |
|
1) Proposal md5/aes-256cbc, lifetime 8h, PFS none
Profile hash md5, enc aes-256, DH modp2048, DPD interval 120s 2) Да, все настраивал с учетом новосозданной группы. Насчет policy - сначала у меня стояло port strict - не работало, поменял на port overrride - не помогло. 3) NAT traversal включен все время. 4) Peers passive=yes. 5) Established, related разрешены были всегда, также создал правила для 1701, 500 и 4500. Траффик по портам идет, уже накапало по паре килобайт (пара десятков пакетов) за все эти попытки подключения.
0
|
|
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
||
| 07.04.2021, 23:12 | ||
|
2. Port strict должно быть
5. 500 с nat-t в ike не используется, вместо него 4500 А 1701 будет упакован в ipsec Ну да ладно... Proposals:
Sha1 aes-128/256 DH modp1024 (попробуйте ещё два варианта: 1024 и 2048 вместе и ещё вариант с none) не помню точно. Lifetime 1d 00:00:00
0
|
||
|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|
| 07.04.2021, 23:27 [ТС] | |
|
Все выставил как написали, попробовал DH 1024 и 2048 both (none варианта нет вроде.) В конце выставил все параметры и в templatеs, и обновил трубку до 14.4.2
Все тоже самое, коннект обрывается.
0
|
|
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 08.04.2021, 06:34 | |
|
None - это когда ничего не выбрано.
lifetime в policies поменяли? Port strict выставили? Попробуйте ещё агрессивный режим выставить, ради эксперимента. Включите в логах ipsec и покажите полный лог, дебаг с микротика
0
|
|
|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|
| 08.04.2021, 16:53 [ТС] | |
|
Да, DH не дает оставлять пустым, а в терминале опции null,none и т.п. не канают
Лайфтаймы выставил, port strict. Aggressive не дает выставить - пишет Only one DH group supported in aggressive mode. Лог - https://dropmefiles.com/Xtjvz
0
|
|
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
||
| 08.04.2021, 17:23 | ||
|
Сейчас какие параметры стоят в profiles и proposal?
0
|
||
|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|||||||
| 08.04.2021, 18:03 [ТС] | |||||||
|
Сейчас Profile: hash sha1; prf auto; encrypt aes-128,aes256; DHG modp1024,modp2048; Lifetime 1d; DPD 120s
Proposal auth sha1; encr aes-128 cbc, aes-256 cbc; Lifetime 08h
https://dropmefiles.com/KKgIm В логе написано
https://dropmefiles.com/99pED
0
|
|||||||
Сообщение от insect_87
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 08.04.2021, 18:51 | |
|
Меняли на sha256 где?
В настройках политики isakmp/ike?
0
|
|
|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|
| 08.04.2021, 18:56 [ТС] | |
|
Сначала поменял для auth, а потом попробовал поменять и Proposal и Profiles и подключиться.
Но все без изменений.
0
|
|
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 08.04.2021, 19:24 | |
|
Даже не знаю теперь, у нас iOS без проблем подключаются к серверам на ROS.
IOS обновляли? Или это макбук Пробуйте ещё менять параметры в первой фазе.
0
|
|
|
2 / 2 / 1
Регистрация: 30.11.2019
Сообщений: 31
|
|
| 08.04.2021, 19:28 [ТС] | |
|
Да, буквально вчера трубку обновил до 14.4.2
А какие параметры у микрота отвечают за phase 1 negotiation? DPD, lifetimes - что еще попробовать?
0
|
|
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
||
| 08.04.2021, 19:48 | ||
|
Фаза 1 настраивается во вкладках profiles, peers, identities
Все то, что в profiles
0
|
||
307 / 218 / 70
Регистрация: 08.11.2010
Сообщений: 1,900
|
|
| 09.04.2021, 18:39 | |
|
Вот такая есть небольшая подсказка.
0
|
|
|
11439 / 7008 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 09.04.2021, 18:47 | |
|
allukard, у меня по ключу, а не сертификату работают без проблем.
+ шифрование aes в обоих туннелях
0
|
|
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
| 09.04.2021, 18:47 | |
|
Помогаю со студенческими работами здесь
20
Нужно настроить vpn соединение между ftp сервером и клиентом IPSec VPN между Mikrotik и Cisco
VPN между Mikrotik RB751 и Zyxel Keenetic Giga II Настройка связи между клиентом и сервером Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
| Опции темы | |
|
|
Новые блоги и статьи
|
|||
|
Отчёт о спецтехнике находящейся в ремонте
Maks 20.04.2026
Отчёт из решения ниже размещен в конфигурации КА2.
Задача: отобразить спецтехнику, которая на данный момент находится в ремонте.
Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .
|
Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)"
Hrethgir 19.04.2026
Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
|
Запрет удаления строк ТЧ документа при определенном условии
Maks 19.04.2026
Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
|
Модель заражения группы наркоманов
alhaos 17.04.2026
Условия задачи сформулированы тут
Суть:
- Группа наркоманов из 10 человек.
- Только один инфицирован ВИЧ.
- Колются одной иглой.
- Колются раз в день.
- Колются последовательно через. . .
|
|
Мысли в слух. Про "навсегда".
kumehtar 16.04.2026
Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .
|
My Business CRM
MaGz GoLd 16.04.2026
Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .
|
Знаешь почему 90% людей редко бывают счастливыми?
kumehtar 14.04.2026
Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . .
а удачный момент так и не приходит.
|
Фиксация колонок в отчете СКД
Maks 14.04.2026
Фиксация колонок в СКД отчета типа Таблица.
Задача: зафиксировать три левых колонки в отчете.
Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка)
/ / . . .
|
Наверх