L2tp/IPsec и няколко клиента от едно външно местоположение

[Стоян Иванов]

Здравейте. Познат ме помоли за помощ относно хакнат микротик. На въпросната машинка имаше конфигуриран OVPN. Конфигурацията бе тотално компроментирана, което наложи всичко да се прави на чисто. Тъй като никога не съм вдигал OVPN, а времето ни притискаше и нямаше кой да ме чака да се уча в момента, реших да заложа на тунел L2tp/IPsec. Всичко тръгна нормално, но с огорчение разбрах че стария проблем с няколко клиента от едно външно местоположение все още не е решен. Пускам първия клиент и втория не може да се свърже... а aко успее, след малко пада първия. Хардуера е RB450G, ROS 6.43, Firmware 6.43. Цял следобед чета относно този проблем и доколкото разбрах от МТ уж са обещали,че във версия седем това ще бъде решено. Има ли някакво работещо решение за момента или да го разкарвам овреме този тунел и да се опитам да конфигурирам OVPN?

p.s Конфигурацията в момента е с едно потребителско име и парола с предварително споделен ключ.

Редактирано 19 Септември, 2018 от Стоян Иванов

[111111]

Чакаме експорт на конфигурацията.

[Стоян Иванов]

# model = 450G
/interface bridge
add admin-mac=******** auto-mac=no dhcp-snooping=yes igmp-snooping=yes name=bridge1

/interface ethernet
set [ find default-name=ether2 ] name=LAN
set [ find default-name=ether3 ] name=LAN1
set [ find default-name=ether4 ] name=LAN2
set [ find default-name=ether5 ] name=LAN3
set [ find default-name=ether6 ] name=WAN

/interface ethernet switch
set 0 switch-all-ports=no

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=0s pfs-group=none

/ip pool
add name=dhcp_pool ranges=192.168.30.4-192.168.30.254
add name=VPN-L2TP ranges=10.11.11.2-10.11.11.100

/ip dhcp-server
add address-pool=dhcp_pool authoritative=after-2sec-delay disabled=no interface=bridge1 lease-time=1d name=dhcp1

/ppp profile
set *0 local-address=dhcp_pool remote-address=dhcp_pool
add dns-server=46.40.72.9,46.40.72.13 local-address=10.11.11.1 name=VPN-L2TP remote-address=VPN-L2TP use-encryption=required
set *FFFFFFFE local-address=192.168.30.4 remote-address=dhcp_pool

/interface bridge port
add bridge=bridge1 interface=LAN1
add bridge=bridge1 interface=LAN2
add bridge=bridge1 interface=LAN3
add bridge=bridge1 interface=LAN

/interface bridge settings
set use-ip-firewall=yes

/ip firewall
connection tracking set enabled=yes

/ip settings
set tcp-syncookies=yes

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=VPN-L2TP enabled=yes

/ip address
add address=192.168.30.3/24 interface=LAN network=192.168.30.0

/ip dhcp-client
add dhcp-options=clientid,*1 disabled=no interface=WAN

/ip dhcp-server network
add address=10.11.11.0/24 gateway=10.11.11.1
add address=192.168.30.0/24 dns-server=46.40.72.9 gateway=192.168.30.3 netmask=24

/ip dns
set max-udp-packet-size=512 servers=46.40.72.9,46.40.72.13

/ip firewall filter
add action=accept chain=input comment="Accept vpn" dst-port=1701 protocol=udp
add action=accept chain=input dst-port=500 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input protocol=ipsec-esp

/ip firewall nat
add action=src-nat chain=srcnat comment="NAT LAN" dst-address=0.0.0.0/0 src-address=192.168.30.0/24 to-addresses=46.*****
add action=masquerade chain=srcnat comment=NAT_L2tp/IPsec src-address=10.11.11.0/24

/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=******

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=****
set api-ssl disabled=yes

/ppp secret
add name=name password=****** profile=VPN-L2TP service=l2tp

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Sofia
/system clock manual
set time-zone=+02:00

/system ntp client
set enabled=yes primary-ntp=212.70.148.19 secondary-ntp=46.47.81.47

 

[kokaracha]

Nat limitations

Warning: Only one L2TP/IpSec connection can be established through the NAT. Which means that only one client can connect to the sever located behind the same router.

[111111]

Локалниия адрес трябва да е група адреси а не един статичен както и отдалечения