L2tp su Mikrotik

[slash76]

Ciao ragazzi...come da titolo vorrei realizzare una Vpn l2tp su Mikrotik (site to site).......dunque stavo provando in ufficio con 1 map (client) ed un hap (server)....ho seguito la wiki ma mi perdo qualcosa.....

lato server ho abilitato il server L2tp....ho configurato un secret (cioè un chiamante)...local e remote address sono rispettivamente l'ip locale e remoto del tunnel giusto (non compaiono su ip address)??Quindi come esempio ho settato come wiki (172.16.1.1.local server e 172.16.1.2 remote cliente 1)....su routes ho impostato la lan dietro al mikrotik lato client....(10.1.200.2./24 esempio)...in teoria cosi non dovrei impostare un nat masquerade....

Su profiles, mi perdo un attimo su come impostare qui local e remote address....lato client ho impostato il dial out su 192.168.1.2 che è l'ip sulla wan dell'hap (server)....sta di fatto che poi provo a collegare il mio pc sul map eth1, la porta eth2 wan collegata alla wan dell'hap ma non vedo l2tp connessa....

Cosi ad occhio non saprei dove sbaglio....qualche suggerimento??grazie

[Andrea Annoni]

Prima di tutto parliamo di L2TP semplice oppure con lo strato di IPSec?

 

Sinceramente fatico un po’ a seguirti; il tunnel sul mAP si autentica?

I Mikrotik come sono connessi a internet? Con nat, DMZ oppure pppoe diretta?

 

Riesci a postare i log della vpn? Oppure la conf. 

[slash76]

Ciao Andrea...scusami forse mi sono spiegato male....stavo provando una simulazione in ufficio da me...i router non sono connessi ad Internet...semplicemente un pc su di una eth di un hap ed un altro su di un map, connessi tramite una vpn l2tp per fare una prova...una centrale TA 10/42 per intenderci è il mio client che invia segnalazioni al pc dove gira il remote ip tramite l2tp.......è possibile???Intendevo un l2tp senza ipsec...

Mi chiarisci per favore il concetto secret e profile lato server??? Grazie mille

[Andrea Annoni]

OK ma senza LOG è difficile capire dove sia il problema.

 

Ho letto che parlavi di masquerade......in pratica non dovrebbe servire se sei in site-to-site o in road-warrior.

 

Se i due device sono nella stessa LAN ti stai complicando la vita...... non mi hai ancora detto se il tunnel è su.

 

Il secret sono le credenziali per accedere.

Il profile è il profilo che devi passare al client; potrebbe essere un pool di indirizzi, una subnet, un bridge ecc.

 

[Andrea Annoni]

Prova queste impostazioni e poi definisci la rotta sul Mikrotik che vuoi usare per "vedere" la rete:

 

 

 

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 pfs-group=none

/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255

/ppp profile
add change-tcp-mss=yes local-address=192.168.89.1 name=profile-vpn \
remote-address=vpn use-encryption=yes

/interface l2tp-server server
set default-profile=profile-vpn enabled=yes ipsec-secret=123456578

/ip ipsec peer
add enc-algorithm=aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=12345678

/ppp secret
add name=UTENTE password=PASSWORD profile=profile-vpn

 

 

 

 

Per abilitare gli eventuali log:

/system logging
add disabled=yes topics=l2tp
add topics=ipsec,debug,!packet

[slash76]

Ciao Andrea lunedi che rientro in ufficio ti faccio vedere il log...il tunnel non va su...i due pc sono su lan diverse (10.1.100.1lato server e 10.2.100.1lato client)...172.16.1.1 e 172.16.1.2 sono gli ip del tunnel quelli che ho impostato sul secret come remote e local address mentre come rotta ho impostato la lan lato client...in questo modo penso non serva fare una regola di nat lato server......non so cosa mettere invece sul local address e remote address lato profile...cioè che indirizzi andrebbero assegnati qui...

[Andrea Annoni]

Si ma le WAN sono sulla stessa rete.

 

Gli indrizzi li decidi tu; o li fai assegnare dinamicamente attraverso un pool oppure li decidi statici. Ma se nemmeno sale il tunnel non è questione di NAT o routing.

[slash76]

Ciao Andrea...grazie per le risposte....dunque, ho preso un routerino 3g vodafone, per far due prove quindi.....vorrei connettere il mio portatile ad un hap, che a sua volta in wifi si connette al router 3g...quindi configurato come client, lo farei puntare all'ip del mio ufficio...e mettere in piedi sta benedetta l2tp.....ora vengo al dunque...

 

Configurazione hap (client)

 

eth 4: 192.168.1.10/24    (mio pc: 192.168.1.20/24)

Interface wlan1  mode: station

Dhcp client interface: wlan1     add default router: yes

Security profile: wpa2-psk       Key: (quella del mio router vodafone 3g)

Nat: chain srcnat     Out interface: wlan       Action: masquerade

 

Ho aggiunto una rotta: 0.0.0.0/0     gateway: wlan

 

Problema: il mikrotik non si connette al mio router 3g vodafone...ma sembra che non lo veda neppure.....cosa sbaglio??

[Andrea Annoni]

Pseudobridge no station 

[slash76]

Ho provato anche con Station pseudobridge ma non funziona lo stesso

[Andrea Annoni]

Una cosa alla volta. Se ti stai connettendo a un device NON Mikrotik la modalità è "station pseudobridge".

Poi se non naviga ecc lo si vede, ma la parte wireless DEVE connettersi. In status è correttamente collegata? Nei log cosa vedi? I log sono sempre fondamentali: da li trovi più della metà dei problemi.

[slash76]

Andrea....ho settato la radio su "station pseudobridge"....perche deve connettersi in wifi ad un router vodafone 3g .....Ho creato un dhcp client sulla wlan, che rimane perennemente su "searching".....sullo status vedo solo esclusivamente i parametri "Noise Floor" e "Channel" cambiare.....non vede il router 3g.....eppure funziona perfettamente....se accendo il wifi del mio portatile si aggancia subito e naviga.....

[Andrea Annoni]

Il segnale di connessione lo vedi? Il CCQ?

Cosa ti dicono i LOG? La soluzione è scritta li...........

 

Secondo me verifica l'algoritmo di cifratura che sia OK. Credo che non hai l'impostazione corretta. Prova solo AES e poi metti AES e TKIP

[slash76]

Non lo so Andrea..il segnale tx/rx ccQ è nullo....il log mi dice solo "dhcp client added by admin".....ma sta di fatto che non riceve nessun ip e non aggancia nulla

[Andrea Annoni]

Qualcosa deve dire. Probabilmente hai sbagliato qualcosa nelle impostazioni wireless.

Per funzionare deve essere:

Station Pseudobridge

Protocollo ANY oppure 802.11

Security il profilo che hai messo con la chiave WPA. Quest'ultimo ha la possibilità di specificare diversi algoritmi di cifratura.

 

Per essere più sicuro puoi andare in wireless, fare una scansione delle reti, selezionare quella del dispositivo H3G, e fare CONNECT. (attenzione che con questa procedura ti viene rimessa la modalità STATION; va poi rimessa in pseudobridge)

[slash76]

Andrea....funziona......ma solo se dopo lo scanner faccio il connect.....se scollego, il dhcp client sulla wlan rimane in "searching".....cosa puo essere secondo te??

[Andrea Annoni]

Cosa vuol dire se scolleghi?

[slash76]

Ciao Andrea....intendevo dire che probabilmente essendo la prima connessione ho dovuto fare lo scanning delle reti e poi dare il "connect" manualmente....spegnendo il router 3g e riaccendendolo, non sempre il mikrotik lo aggancia, a volte devo forzare il conncet lo stesso....comunque comincio a fare alcune prove.....grazie mille per ora

[slash76]

Ciao Andrea....dunque niente da fare, non riesco a tirar su il tunnel....il log lato client entra in un loop cosi : l2tp initializing.....connnecting.....terminating.....session closed....disconnetted.....

e continua cosi.....

[Andrea Annoni]

Difficile rispondere senza log precisi (dovresti abilitare i log della vpn). Sul server cosa vedi?

 

Probabilmente è un problema di cifratura

[slash76]

Sul server non vedo nessun tentativo di connessione...sono dietro ad un router telecom e non in bridge....devo aprire qualche porta verso il mikrotik??..come abilito i log sulla vpn!!!

[Andrea Annoni]

E certo che devi aprire le porte lato server. Per la L2TP serve di sicuro la 500 e altre sue che non ricordo a memoria. Tutte UDP.

 

Per i log devi abilitarli da terminale, te l’ho scritto nell’esempio sopra. 

[slash76]

Eh scusa non lo sapevo....ho aperto  la 500 la 5500 e la 1701....ma il tunnel non sale ....ho abilitato gli eventi: tunnel received no replies disconnetting 

l2 tp out1 session closed....

Ma indipendentemente dai secrets e profiles, il tunnel deve comunque salire???......mi hai detto che il local address e remote address del secrets sono gli indirizzi del tunnel giusto....quelli invece che passo lato profile cosa cosa rappresentano....mi sfugge le differenza.....cioè se ho 200 client che si collegano in l2tp, avrò 200 secret ognuno con lo stesso local address ma remote address tutti diversi....a cosa serve assegnarli anche lato profile...

[Andrea Annoni]

Il tunnel non può salire se non è correttamente configurato.

Resetta la routerboard e copia le istruzioni che ti ho girato nel post iniziale.

 

Ci sono svariati modi di gestire la VPN; puoi assegnare un pool di indirizzi ai client, puoi specificare indirizzi differenti e specifici per ogniuno. Questa operazione la puoi fare mediante i profile della VPN oppure mediante dei profile nei secrets.

 

[slash76]

Ciao Andrea....con un po di ritardo ma c'è l'ho fatta....dunque il problema non era la mia RB...ho sostituito il vecchio router Telecom che avevo (forse 15 anni), e la l2tp si è subito connessa.....non voleva saperne di aprire la 1701 e la 4500....boh!!!...comunque, ora che ci sono volevo chiederti alcune cose...

Lato secret ho notato che è possibile impostare delle routes...se imposto la lan lato client , che è diversa da quella lato server  (es. server 10.10.100/24   client 10.100.10/24), evito di mettere una rotta statica sulle routes??