First l2tp udp packet received from mikrotik что это
First l2tp udp packet received from mikrotik
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph2 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
Решение: удалить созданную по умолчанию группу в меню IP – IPSec – Groups, создать новую и указать ее в IP – IPSec – Peers в поле Policy Template Group.
По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.
Ошибки firewall на всех этапах
Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input – серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.
Есть маршрутизатор RB-951G-2Hnd
Была необходимость на днях настроить l2tp/ipsec. Настроил и все чудно работает, логины пароли ни кому не давал, однако теперь в логах вижу:
02:25:18 l2tp,debug,packet rcvd control message from 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel- > 02:25:18 l2tp,debug,packet (M) Message-Type=SCCRQ
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x601
02:25:18 l2tp,debug,packet (M) Host-Name=»T450-150520-NB»
02:25:18 l2tp,debug,packet Vendor-Name=»Microsoft»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:18 l2tp,debug,packet (M) Receive-Window-Size=8
02:25:18 l2tp,info first L2TP UDP packet received from 183.60.48.25
02:25:18 l2tp,debug tunnel 49 entering state: wait-ctl-conn
02:25:18 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel- > 02:25:18 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x1
02:25:18 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:18 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:18 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:19 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:19 l2tp,debug,packet tunnel- > 02:25:19 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:19 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:19 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:19 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:19 l2tp,debug,packet Firmware-Revision=0x1
02:25:19 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:19 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:19 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:19 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:20 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:20 l2tp,debug,packet tunnel- > 02:25:20 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:20 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:20 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:20 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:20 l2tp,debug,packet Firmware-Revision=0x1
02:25:20 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:20 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:20 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:20 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:22 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:22 l2tp,debug,packet tunnel- > 02:25:22 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:22 l2tp,debug,packet Firmware-Revision=0x1
02:25:22 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:22 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:22 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:22 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:26 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:26 l2tp,debug,packet tunnel- > 02:25:26 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:26 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:26 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:26 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:26 l2tp,debug,packet Firmware-Revision=0x1
02:25:26 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:26 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:26 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:26 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:34 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:34 l2tp,debug,packet tunnel- > 02:25:34 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:34 l2tp,debug,packet Firmware-Revision=0x1
02:25:34 l2tp,debug,packet (M) Host-Name=»MikroTik»
02:25:34 l2tp,debug,packet Vendor-Name=»MikroTik»
02:25:34 l2tp,debug,packet (M) Assigned-Tunnel- > 02:25:34 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:42 l2tp,debug tunnel 49 received no replies, disconnecting
02:25:42 l2tp,debug tunnel 49 entering state: dead
На протяжении дня ситуация повторяется меняются только IP и порты.
Не совсем понимаю, ломают или уже взломали?
Не устанавливается соединение с L2TP сервером на Микротик
Прошу помощи разобраться в настройках L2TP сервера на Микротик.
В качестве примера настройки сервера использовал данный мануал: https://mikrotik.wiki/wiki/VPN. ие_офисов)
В качестве клиента Windows 10 Pro / Mac OS Sierra 10.12.6 + Shimo
Правила файераола на Микротик:
Внешний интерфейс: interface=ether1
Внутренний: interface=ether2
При попытки установить соединение из Windows в лог пишет следующее:
PPTP сервер и SSTP сервер прекрасно работают.
Помогите пожалуйста разобраться, что не так настроено.
Не устанавливается соединение с сервером
Здравствуйте, уважаемые форумчане. Возникла проблема. Есть два приложения. Сервер и клиент.
Микротик L2TP
Доброго времени суток дорогие форумчане. Имеется 2 микротика. Первый ( сервер ) стоит дома. Второй.
Нет соединения с L2TP/IPSEC сервером на Windows
Поднял сервер L2TP/IPSEC с pre-shared key на Microtic (RouterOS 6.40.9). На linux Ubuntu 19.04.
Как настроить микротик для работы с PXE сервером?
Здравствуйте ув.форумчане, подскажите пожалуйста, можно ли на MikroTik реализовать такую логику для.
Не запускается l2tp соединение
Здравствуйте. Проблема такова: есть L2TP IPsec VPN создан на Zyxel ZyWALL USG 100. Некоторые ПК.
Соединение с прокси-сервером как HTTPS-соединение
Доброго времени суток! Мне нужно, чтобы соединение с прокси-сервером выполнялось по SSL или TLS.
Debian shorewall l2tp соединение rdp (3389)
Здравствуйте, произвожу стандартную настройку сервера авторизации l2tp (компьютер (1)) на котором.
First l2tp udp packet received from mikrotik что это
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Клиенты L2TP + IPSec отключают друг друга
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Гугл выдал вот такую статью https://forum.mikrotik.com/viewtopic.php?t=115592, суть которой сводится к тому чтобы использовать другое решение. В моем случае это не желательно, т.к. грозит перенастройкой нескольких десятков пользователей и роутеров.
Кто нибудь может мне помочь решить эту проблему?
Конфиг одного роутера (2011UiAS):
> ip pool print
# NAME RANGES
0 office-pool 192.168.100.101-192.168.100.200
1 vpn-pool 192.168.100.200-192.168.100.250
1 name=»l2tp» local-address=192.168.100.2 remote-address=vpn-pool use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list=»» dns-server=192.168.100.1,192.168.100.8 wins-server=192.168.100.1,192.168.100.8 on-up=»» on-down=»»
1 R ;;; This entry is unreachable
name=»peer1″ passive=yes profile=default exchange-mode=main send-initial-contact=yes
> interface l2tp-server server print
enabled: yes
max-mtu: 1450
max-mru: 1450
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
max-sessions: unlimited
default-profile: l2tp
use-ipsec: yes
ipsec-secret: SECRET
caller-id-type: ip-address
one-session-per-host: no
allow-fast-path: no
First l2tp udp packet received from mikrotik что это
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Разрывы связи (L2TP, terminating, hungup. )
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Искал на форуме ответ, но не нашёл.
Если он есть, покажите, пожалуйста.
Буду очень благодарен, если поможете.
Сегодня утром началась проблема и никак не поймём как её решить.
Каждые пару минут отваливается L2TP-туннель между точкой и сервером.
Также в логах клиента идёт спам из подобных сообщений:
12:52:41 warning denied winbox/dude connect from ***.***.**.**
Настройка MikroTik L2TP Server + IPSec
В этой статье мы покажем, как сделать настройку L2TP Server с IPSec на MikroTik. Постараемся детально описать все нюансы и тонкости конфигурирования.
На сегодняшний день есть множество способов организовать VPN, но на мой взгляд L2TP является оптимальным выбором, так как данный протокол существует во всех ОС и имеет ряд преимуществ о которых мы поговорим ниже.
Настройка L2TP MikroTik для многих может оказаться не такой уж и простой задачей. Давайте разберемся на практике, так ли это сложно?
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Протокол L2TP не предоставляет механизмов шифрования, поэтому рассмотрим связку L2TP IPSec для подключения удаленных устройств к корпоративной сети. Узнаем как выполнить настройку туннеля L2TP IPSec между MikroTik, что позволит объединить офисы по данной технологии.
L2TP — это туннельный протокол служащий для организации виртуальных частных сетей, объединивший в себе лучшие функции протоколов PPTP (Microsoft) и L2F (Cisco).
IPSec – это набор протоколов служащий для шифрования, аутентификации и обеспечения защиты при отправке IP-пакетов. Основное применение нашел при организации VPN-соединений.
Mikrotik. Настройка L2TP Server
Рассмотрим детальную настройку двух видов туннелей L2TP + IPSec:
Настройка туннеля L2TP + IPSec на Mikrotik (site-to-site). Объединяем два офиса
Попробуем объединить два офиса фирмы в одну виртуальную частную сеть (VPN) используя туннельный протокол L2TP в связке с IPSec на оборудовании Mikrotik.
Из схемы мы видим, что Mikrotik в главном офисе (GW1), будет настроен на роль L2TP Server + IPSec, со следующими настройками:
MIkrotik в филиале (GW2) будет являться VPN-клиентом с настройками:
Приступаем к настройке.
Настройка Mikrotik L2TP Server. Главный офис
Создаем профиль подключения
У Mikrotik в меню PPP есть два профиля по умолчанию, которые используются для PPP соединений. Рекомендуется не изменять профили по умолчанию, а создать и использовать под свою задачу новый.
Создадим профиль для подключения, в котором укажем имя для соединения, назначим статические IP-адреса для L2TP сервера и клиента. Отроем Winbox, перейдя:
В окне New PPP Profiles, открыв, вкладку “General” укажем информацию:
Рекомендуем для туннеля вида Site-to-Site назначить статические IP.
Настраиваем Secret
На вкладке «Secrets» мы настраиваем имя, пароль и профиль подключения для L2TP-Клиента. Для этого выполним действия:
Рекомендуем придумывать сложные пароли. Минимум 12 символов разного регистра с использованием спец. символов.
Включаем L2TP Server и IPSec
Следующим шагом включим L2TP Server на Mikrotik указав профиль, метод аутентификации и ключ шифрования для IPSec. Выберем пункт меню Interface, настроим как показано на рисунке ниже:
Не забываем придумывать сложные пароли.
Создаем интерфейс
Создадим статический интерфейс L2TP Server Binding. Это позволит избежать проблемы с маршрутизацией между сетями, которые могут возникнуть при разрыве соединения.
Заполним открывшееся окно New interface. Вкладка «General»:
Настройка firewall
Добавим правила в наш файрвол, тем самым разрешая трафик для L2TP, два правила для IPSec и протокол Ipsec-esp:
Добавим разрешающее правило для L2TP, который работает на 1701(UDP) порту:
После нажмем правой кнопкой мыши на созданное правило и добавим комментарий, нажав строку Comment из меню:
Добавим правило для UDP портов 4500, 500:
Добавим комментарий для этого правила, как показано выше.
Разрешим протокол IPsec-esp:
Очень важен порядок расположения правил. Ваш firewall после настроек должен выглядеть примерно следующим образом:
Для более глубокого понимания работы брандмауэра рекомендуем ознакомиться со статьей MikroTik настройка firewall.
На этом настройка L2TP Server Mikrotik закончена, перейдем к настройке клиентской части (филиала).
Настройка филиала (L2TP Client)
Выполним настройку L2TP клиента. Для этого необходимо на роутере Mikrotik добавить интерфейс с настройками подключения к главному филиалу указав его IP-адрес, идентичные значения IPSec и аутентификации.
Создадим свой профиль для подключения:
На вкладке «General» укажем имя профиля:
Далее откроем вкладку «Protocols», установим обязательное шифрование:
Добавляем L2TP Client:
Ждем некоторое время. Если мы все сделали правильно, то увидим букву “R” слева от имени подключения:
Статус туннеля можем посмотреть, зайдя в настройки интерфейса:
Здесь мы видим дату и время, когда туннель поднялся (Last Link Up Time), количество разрывов соединения (Link Downs), время жизни соединения (Uptime), метод шифрования (Encoding) и другие параметры.
Осталось настроить маршрутизацию между подсетями.
Настройка маршрутизации межу офисами
Пропишем маршруты на обоих роутерах Mikrotik. Так подсети увидят друг друга.
Для начала зайдем на роутер главного офиса (GW1), выполним следующие действия:
Укажем удаленную подсеть и шлюз, который будет обрабатывать запросы:
Затем зайдем на Mikrotik филиала (GW2), добавим маршрут:
Укажем подсеть главного офиса и назначим Gateway:
Теперь филиалы видят друг друга. На этом настройка L2TP + IPSec между роутерами Mikrotik (Site-to-site), закончена.
Настройка L2TP Server + IPSec на Mikrotik (client-to-site)
Рассмотрим вариант подключения к L2TP Server удаленных сотрудников (client-to-site). На практике данный способ применяется, когда работник компании уехал в командировку и ему надо иметь доступ к внутренним ресурсам локальной сети фирмы. Таким образом, сотрудник со своего ноутбука устанавливает VPN соединение по которому получает доступ к локальным ресурсам сети.
Создаем пул адресов
Первым шагом назначим пул адресов, которые побудут получать клиенты, подключаемые по VPN:
В окне “New IP Pool” укажем название пула и диапазон адресов:
Профиль подключения
Дальше создадим свой профиль для L2TP соединений:
Выполним настройку профиля следующим образом:
На вкладке “Limits” ограничим подключение единственным соединением:
Создание пользователя
На вкладке “Secrets” укажем настройки имени пользователя, пароль и профиль для подключения:
Включаем L2TP Server
Осталось активировать L2TP Server на Mikrotik, выбрать метод аутентификации, задать профиль по умолчанию, включить IPSec и установить для него ключ шифрования:
Настройка подключения на стороне клиента
На компьютере или ноутбуке сотрудника настроим VPN-соединение до L2TP Сервера. Приведу пример, как это можно сделать на ОС Windows 10.
Откроем “Центр управления сетями…”, затем создадим подключение, как показано на рисунке ниже:
Следующим шагом выберем вариант подключения:
Выполним подключение через Интернет с помощью VPN:
Следующим шагом введем внешний адрес (WAN) роутера Mikrotik и произвольное имя для соединения:
В нашем примере маршрутизатору Mikrotik назначен внешний IP 111.111.111.111, у вас это будет свой адрес.
Продолжим настройку VPN соединения:
Откроем свойства созданного соединения:
Перейдем на вкладку “Безопасность”, выполнив настройку как показано на рисунке ниже:
Откроем дополнительные параметры (5 шаг на рисунке) и укажем ключ IPSec, который мы указали ранее в настройках L2TP Server, параметром IPsec Secret:
Далее откроем вкладку “Сеть”, уберем галочку с протокола TCP/IPv6 и откроем свойства протокола TCP/IPv4:
Нажмем кнопку “Дополнительно” и запретим использовать основной шлюз в удаленной сети, сняв галочку с соответствующего пункта:
Важно! Игнорируя текущий пункт настройки, после установки VPN соединение пропадет интернет.
Подключаем созданное VPN-соединение:
Настройка маршрутизации L2TP-клиента
Подключение установилось. Следующим шагом укажем постоянный статический маршрут прописав шлюз для удаленной подсети.
Откроем командную строку с правами администратора и выполним команду:
route add 192.168.13.0 mask 255.255.255.0 10.10.10.1 if 49 /p
Пример, как можно посмотреть номер интерфейса:
На этом настройка L2TP Server + IPSec на Mikrotik закончена. Надеюсь, данная статья была для вас полезной.
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.