Mikrotik router - how to set up L2TP IPsec server for Android, iPhone, Windows
V tomto případě si můžete nastavit na routeru Mikrotik VPN server L2TP / IPsec server, který si můžete zapůjčit na zařízení Android, iPhone, Windows, Linux nebo NAS Synology.
Naše nastavení:
------------------------------------
WAN - eth5
IP pool 172.16.85.1
IP - Firewall
------------------------------------
/ ip firewall filtr
add action = přijmout řetězec = vstupní protokol = ipsec-esp v rozhraní = ether5 comment = "L2TP-IPSec"
add action = přijmout řetězec = vstupní protokol = ipsec-ah v rozhraní = ether5 comment = "L2TP-IPSec"
add action = accept chain = input in-interface = ether5 protocol = udp dst-port = 500 comment = "L2TP-IPSec"
add action = accept chain = input in-interface = ether5 protocol = udp dst-port = 1701 comment = "L2TP-IPSec"
add action = přijmout řetězec = vstup v rozhraní = ether5 protokol = udp dst-port = 4500 comment = "L2TP-IPSec"
IP - Pool
------------------------------------
Název = l2tp_pool
Adresy = 172,16,85,10 - 172,16,85,15
PPP - Profily
------------------------------------
jméno: ipsec_vpn
místní adresa: 172.16.85.1
vzdálená adresa: l2tp_pool
dns server: 192.168.85.254
změnit TCP MSS: výchozí
PPP - karta rozhraní - server L2TP
------------------------------------
Povoleno
MTU 1460
MRU 1460
Keepalive 30
Výchozí profil ipsec_vpn
Autor mschap2 mschap1
Uživatel IPsec ano
IPsec tajemství: heslo
Povolit nejkratší cestu: ano
IP - IPsec - návrhy politik
------------------------------------
výchozí:
autor. algoritmy: jen sha1
šifrovací algoritmy: aes128, aes192, aes256
Skupina PFS: modp1024
PPP - Tajemství
------------------------------------
jméno: kdo přezdívka, nebo cokoli, oni vpnuser
heslo: vymysli si heslo pro tohoto uživatele
služba: l2tp
profil: ipsec_vpn
Bridge - arp-proxy
------------------------------------
Bridge -> záložka Bridge -> položka bridge1 (popř. Bridge-local)
přepnout ARP z povoleno na proxy-arp
Celá chyba:
------------------------------------
ISAKMP-SA založena ...
první paket UDP L2TP přijatý od ...
iphone loggen in, 0.0.0.0
l2tp-iphone: ověřeno
l2tp-iphone: terminating ...- nemohl zjistit lokální IP adresu
iphone odhlášen ...
l2tp-iphone: odpojeno
čištění ISAKMP-SA ...
ISAKMP-SA odstraněn
Oprava Oprava:
------------------------------------
Profil PPP nepodlo Vzdálená adresa l2tp_pool
/ logování systému
přidat prefix = ipsec témata = ipsec
Celá chyba:
------------------------------------
partner poslal paket pro mrtvou fázi2
první L2TP UDP paket přijatý od ...
nafouknutí ISAKMP-SA
ISAKMP-SA odstraněn
reagovat na novou fázi 1 (ochrana identity):
reagovat na novou fázi 1 (ochrana identity):
Byla zřízena společnost ISAKMP-SA
Vyjednávání fáze 1 selhalo kvůli vypršení času
Oprava Oprava:
------------------------------------
povolit zásady IPsec
Naše nastavení:
------------------------------------
WAN - eth5
IP pool 172.16.85.1
Nastavení serveru Mikrotik VPN L2TP / IPsec
IP - Firewall
------------------------------------
/ ip firewall filtr
add action = přijmout řetězec = vstupní protokol = ipsec-esp v rozhraní = ether5 comment = "L2TP-IPSec"
add action = přijmout řetězec = vstupní protokol = ipsec-ah v rozhraní = ether5 comment = "L2TP-IPSec"
add action = accept chain = input in-interface = ether5 protocol = udp dst-port = 500 comment = "L2TP-IPSec"
add action = accept chain = input in-interface = ether5 protocol = udp dst-port = 1701 comment = "L2TP-IPSec"
add action = přijmout řetězec = vstup v rozhraní = ether5 protokol = udp dst-port = 4500 comment = "L2TP-IPSec"
IP - Pool
------------------------------------
Název = l2tp_pool
Adresy = 172,16,85,10 - 172,16,85,15
PPP - Profily
------------------------------------
jméno: ipsec_vpn
místní adresa: 172.16.85.1
vzdálená adresa: l2tp_pool
dns server: 192.168.85.254
změnit TCP MSS: výchozí
PPP - karta rozhraní - server L2TP
------------------------------------
Povoleno
MTU 1460
MRU 1460
Keepalive 30
Výchozí profil ipsec_vpn
Autor mschap2 mschap1
Uživatel IPsec ano
IPsec tajemství: heslo
Povolit nejkratší cestu: ano
IP - IPsec - návrhy politik
------------------------------------
výchozí:
autor. algoritmy: jen sha1
šifrovací algoritmy: aes128, aes192, aes256
Skupina PFS: modp1024
PPP - Tajemství
------------------------------------
jméno: kdo přezdívka, nebo cokoli, oni vpnuser
heslo: vymysli si heslo pro tohoto uživatele
služba: l2tp
profil: ipsec_vpn
Bridge - arp-proxy
------------------------------------
Bridge -> záložka Bridge -> položka bridge1 (popř. Bridge-local)
přepnout ARP z povoleno na proxy-arp
Možné chyby
l2tp: terminating ...- nemohl zjistit lokální IP adresu
Celá chyba:
------------------------------------
ISAKMP-SA založena ...
první paket UDP L2TP přijatý od ...
iphone loggen in, 0.0.0.0
l2tp-iphone: ověřeno
l2tp-iphone: terminating ...- nemohl zjistit lokální IP adresu
iphone odhlášen ...
l2tp-iphone: odpojeno
čištění ISAKMP-SA ...
ISAKMP-SA odstraněn
Oprava Oprava:
------------------------------------
Profil PPP nepodlo Vzdálená adresa l2tp_pool
Jak zapnout DEBUG pro L2TP / IPSec:
/ logování systému
přidat prefix = ipsec témata = ipsec
peer poslal paket pro mrtvou fázi2
vyjednávání fáze 1 selhalo kvůli vypršení času
Celá chyba:
------------------------------------
partner poslal paket pro mrtvou fázi2
první L2TP UDP paket přijatý od ...
nafouknutí ISAKMP-SA
ISAKMP-SA odstraněn
reagovat na novou fázi 1 (ochrana identity):
reagovat na novou fázi 1 (ochrana identity):
Byla zřízena společnost ISAKMP-SA
Vyjednávání fáze 1 selhalo kvůli vypršení času
Oprava Oprava:
------------------------------------
povolit zásady IPsec
