orgnemo Inserito: 1 maggio 2020 Segnala Inserito: 1 maggio 2020 Salve, Seguendo i consigli del forum sono passato a mikrotik e devo dire che sono molto contento. Adesso sto cercando di configurare una VPN server per connettermi nella rete di casa. la configurazione mikrotik 6.46.6 con lan 192.168.1.0/24: /ppp profile add name=ipsec_vpn local-address=192.168.102.1 dns-server=192.168.1.1 /interface l2tp-server server set enabled=yes default-profile=ipsec_vpn authentication=mschap1,mschap2 /ip ipsec peer add exchange-mode=main passive=yes name=l2tpserver /ip ipsec identity add generate-policy=port-override auth-method=pre-shared-key secret="pre123456" peer=l2tpserver /ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=3des pfs-group=modp1024 /ppp secret add name="home" password="123456" service=l2tp profile=ipsec_vpn remote-address=192.168.102.2 /ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500 /ip firewall filter add chain=input action=accept protocol=ipsec-esp Riesco a connettermi da lan, ma non da ip publico, pur aprendo le porte 1701, 500, 4500 da modem verso mikrotik, uso android per connettermi. Non sono esperto vedete errori evidenti? Grazie
abbio90 Inserita: 2 maggio 2020 Segnala Inserita: 2 maggio 2020 Posta i log....sei sicuro che le porte sono aperte..? Se fai dei dst-nat sul mikroik verso il gateway lan con le porte che hai messo nella regola di accept vedi traffico quando tenti la connessione? Spiega come arriva l.ip pubblico alla RB.. N.B. con un solo secret con specificato il remote address può connettersi alla vpn un solo host per volta... Secondo me conviene sempre collegare al profile in pool che utilizzerei per accesso temporanei alla vpn, ed utilizzare un remote address statico per i client che verranno raggiunti da rotte statiche
orgnemo Inserita: 2 maggio 2020 Autore Segnala Inserita: 2 maggio 2020 4 ore fa, abbio90 ha scritto: Posta i log....sei sicuro che le porte sono aperte..? Sul modem sono aperte quelle del mikrotik penso di si. Log vpn locale: 14:56:24 ipsec,info respond new phase 1 (Identity Protection): 192.168.1.1[500]<=>192.168.1.2[500] 14:56:25 ipsec,info ISAKMP-SA established 192.168.1.1[500]-192.168.1.2[500] spi:80df93378262ee10:99a4151413c8832a 14:56:26 l2tp,info first L2TP UDP packet received from 192.168.1.2 14:56:26 interface,info <l2tp-home> detect UNKNOWN 14:56:26 l2tp,ppp,info,account home logged in, 192.168.102.2 14:56:26 l2tp,ppp,info <l2tp-home>: authenticated 14:56:26 l2tp,ppp,info <l2tp-home>: connected Log vpn remota: 15:02:19 l2tp,info first L2TP UDP packet received from 158.148.171.xxx 15:02:50 ipsec,info purging ISAKMP-SA 192.168.1.1[500]<=>192.168.1.2[500] spi=80df93378262ee10:99a4151413c8832a. 15:02:50 ipsec,info ISAKMP-SA deleted 192.168.1.1[500]-192.168.1.2[500] spi:80df93378262ee10:99a4151413c8832a rekey:1 15:02:50 l2tp,ppp,info <l2tp-home>: terminating... - hungup 15:02:50 l2tp,ppp,info,account home logged out, 384 105404 522359 1346 2081 15:02:50 l2tp,ppp,info <l2tp-home>: disconnected Quote Se fai dei dst-nat sul mikroik verso il gateway lan con le porte che hai messo nella regola di accept vedi traffico quando tenti la connessione? il traffico lo vedo solo se mi collego da rete locale Quote N.B. con un solo secret con specificato il remote address può connettersi alla vpn un solo host per volta... Per adesso ci sono solo io a connettermi poi aggiungerò migliorie appena risolvo questi problemi. Grazie
orgnemo Inserita: 2 maggio 2020 Autore Segnala Inserita: 2 maggio 2020 Le porte dovrebbero essere aperte: 2 ;;; ipsec chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=500 protocol=udp in-interface=ether1 dst-port=500 log=no log-prefix="" 3 ;;; l2tp chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=1701 protocol=udp in-interface=ether1 dst-port=1701 log=no log-prefix="" 4 ;;; ike chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=4500 protocol=udp in-interface=ether1 dst-port=4500 log=no log-prefix="" C'e un ordine da rispettare?
abbio90 Inserita: 2 maggio 2020 Segnala Inserita: 2 maggio 2020 (modificato) I dst-nat che ti ho detto di fare in sostanza non servono ad una cippa...ma con esse vedi se le porte da pubblico lavorano tramite il contattore pacchetti... che connessione hai??? sei certo di avere IP pubblico??? Modificato: 2 maggio 2020 da abbio90
abbio90 Inserita: 2 maggio 2020 Segnala Inserita: 2 maggio 2020 prova ad attivare i debug di ipsec.... sei dietro quanti nat??? a volte a ipsec non piacciono i mille nat
Andrea Annoni Inserita: 3 maggio 2020 Segnala Inserita: 3 maggio 2020 19 ore fa, orgnemo ha scritto: 15:02:19 l2tp,info first L2TP UDP packet received from 158.148.171.xxx 15:02:50 ipsec,info purging ISAKMP-SA 192.168.1.1[500]<=>192.168.1.2[500] spi=80df93378262ee10:99a4151413c8832a. Secondo me hai problemi di NAT; Per fare una prova veloce disattiva lo strato di IPsec dalla L2TP
orgnemo Inserita: 3 maggio 2020 Autore Segnala Inserita: 3 maggio 2020 Ho una connessione tim e sono certo che sia un ip pubblico, perchè uso il port forwarding per altre cose e lì tutto funziona. La mia configurazione è semplice ho un modem asus collegato alla wan mikrotik RB2011UIAS-IN e uno switch collegato alla lan. Stamattina mi sono rimesso a controllare da capo tutto e ho notato che la porta 500 era instradata al mikkrotik in tcp invece di udp (le avevo tolte e rimesse almeno 50 volte i giorni scorsi). Corretto l'errore sembrava che non fosse cambiato nulla, poi ho provato a fare una vpn client con ubuntu con il telefono come hotspot e da quel momento tutto ha funzionato anche da telefono. Adesso vorrei aggiungere il pool come consigliato da obbio90. Grazie a tutti.
abbio90 Inserita: 3 maggio 2020 Segnala Inserita: 3 maggio 2020 basta crearlo e abbinarlo al profile... poi nei secret che vuoi impostare statici nel secret oltre al profile specifichi il remote address
Messaggi consigliati
Crea un account o accedi per commentare
Devi essere un utente per poter lasciare un commento
Crea un account
Registrati per un nuovo account nella nostra comunità. è facile!
Registra un nuovo accountAccedi
Hai già un account? Accedi qui.
Accedi ora