L2tp + IPSec как vpn site to site

Рет қаралды 49,836

4 жыл бұрын

Помогаем в Telegram: @MikTrain (teleg.run/miktrain)
====ОПИСАНИЕ ВЕБИНАРА====
Существует множество вариантов организации защищенных туннелей между офисами. Один из вариантов L2tp + ipsec. Несмотря на то что обычно данная связка используется как способ подключения мобильных сотрудников к офисным ресурсам у нее есть свои плюсы в схеме сеть-сеть. На вебинаре поговорим о плюсах. Поговорим о том как сделать ipsec на сертификатах для работы с l2tp.
Консультации и помощь по MikroTik в нашем Telegram-канале: teleg.run/miktrain
Презентация
bit.ly/2HoOXN6
#Mikrotiik, #RomanKozlov, #L2tp, #IPSec

Пікірлер: 47

@eldarkarimov5791 4 жыл бұрын

Крутой веббинар 👍

@moscowstyle6978 4 жыл бұрын

Роман, спасибо вам большое, в голове много чего прояснилось то, что делал не понимая!

@AlexPebodyGM 2 жыл бұрын

Просто ОТЛИЧНО, особенно моменты с EVE )) очень понравилось!

@maxpla1035 4 жыл бұрын

Отличный получился вебинар! Даже с элементами траблшутинга ;) ! Спасибо Роману!!!!

@thecelerok 4 жыл бұрын

15:58 начало

@vanderdt2 3 жыл бұрын

35:45 же, нет? )

@HeadGenCSGO 3 ай бұрын

00:00 же, нет?@@vanderdt2

@FlowerShopGuy 3 жыл бұрын

1:14:45 - Спасибо огромное, а то со стандартными значениями WEB сервер еле-еле работал, а теперь все ОК! Столько дней ломал голову...

@user-pu4we1xj8r 4 жыл бұрын

Жаль конечно не рассмотрели детальную настройку параметров шифрования. Там тоже есть свои интересные нюансы. Скажем при создании своих профилей шифрования в сочетании с использованием шаблонов политик IPsec не работает их связывание через IPsec Groups на стороне клиента (а на стороне сервера - пожалуйста). Из-за чего приходится таки портить дефолтные профили. Причём на первый взгляд кажется, что это какой-то баг, но нет - в WiKi написано, что это таки фича (правда очень как-то вскользь это упоминается). Ну и в целом конечно много всяких мелочей осталось за кадром. Хотя объективно это привело бы к распуханию вебинара ещё на час-другой. Отдельное спасибо кстати за описание параметра Caller ID Type и что его можно использовать для подключения нескольких клиентов из-за одного NAT'а. В WiKi этот параметр не описан.

@Gamerpr2023 4 жыл бұрын

ipv6-адрес с микротика клиенту в туннель с маршрутами. было бы здорово, если появится такой вебинар.

@old_gra 3 жыл бұрын

Спасибо, Роман. Подскажите как правильно прописать маршруты для 3 роутеров (1 сервер l2tp и 2 клиента). Так чтобы 3 сети видели друг друга. Спасибо

@user-qd2mk3gu3e 4 жыл бұрын

я первый)

@user-bu1eh7vs4k 3 жыл бұрын

Подскажите есть ли видео как подружить l2tp Ipsec mikrotik и mac os?

@Kaskov.S 3 жыл бұрын

А вот по вопросу по открытию на Firewall на сервере. С Input цепочкой то всё ясно что её надо открыть. А как правильнее открывать forward цепочку на трафик идущий из одного офиса в другой?

@user-oo4mm9jb5z Жыл бұрын

Все понятно. Спасибо очень доходчиво. Есть вопрос!!! Настроил 2 микротика шифрованный канал. Настроил фаервол как у вас. Почему в фаерволе правила accept 170 500 4500 в статистике ничего нет. Пробовал отключать эти правила. Канал продолжает работать. В конце правил фаервола, как у вас, все дропается.

@user-cs5qr3hg8z 3 жыл бұрын

Может быть подскажите? После настройки один клиент подключается отлично, второй подключается первый отваливается. Клиенты за NAT оба выходят через один IP учетные записи разные. Как исправить?

@ruslanaminov7198 3 жыл бұрын

Все настроено по мануалу и работает как нужно в режиме site to site. Но если подключаться с клиента Windows , подключается без импорта на сторону клиента всяких сертификатов. Баг??? Версия ROS 6.46.8

@don-din-don 2 жыл бұрын

Добрый день\вечер. После полугода работы vpn L2tp , отвалился сервер. Ошибка при подключение "Попытка l2tp не удалась из за ошибки произошедшей на уровне безопасности во время согласования" При этом все остальное работает (проброс портов без vpn и доступ ). Настройки стандартные, добавил только vpn, обновления только с исправлением ошибок. Буду признателен если подскажите в чем подвох.

@user-gc4zq8nf6t 3 жыл бұрын

здраствуйте можете помочь как на rb1100 втарую подсетку поднять

@jean-claude-vandyshev 4 жыл бұрын

ссылка на презентацию не рабочая

@senseix6301 2 жыл бұрын

Не эмулятор виноват, они себя так и в жизни ведут)

@alekss5278 4 жыл бұрын

Почему 1701 цепочка forward а не input?

@user-pu4we1xj8r 4 жыл бұрын

Ошибся. Естественно там input. Кстати можно ещё в этом правиле добавить ipsec-policy=in,ipsec. Это не даст установиться L2TP подключению без шифрования (если по какой-то причине ipsec отвалился). Пример: add action=accept chain=input comment="Accept L2TP from all WAN interfaces (if IPsec in policy exists)" dst-port=1701 in-interface-list=all-WAN ipsec-policy=in,ipsec protocol=udp

@user-cv1dx1ro3k 4 жыл бұрын

Мне кажется или багов с каждым годом все больше и больше?

@abask000 4 жыл бұрын

если сервер vpn (mikrotik) находится за nat реально сделать l2tp+ipsec ?

@yakimrevder Жыл бұрын

Пробрасывайте порты 4500 500 на сервер и будет работать

@yakimrevder Жыл бұрын

1701 тоже для l2tp

@EvgenyRejnovskey 3 жыл бұрын

У меня l2tp +ipsec на Убунту сервер стоит. Андроид подключается отлично. Убунту (клиент) не смог подключить(( Выкрутился - по ssh тоннель сделал.

@user-pu4we1xj8r 3 жыл бұрын

Ubuntu из коробки не поддерживает L2TP/IPsec. Надо два пакета доустановить и поддержка будет. В т.ч. с настройкой через GUI.

@EvgenyRejnovskey 3 жыл бұрын

@@user-pu4we1xj8r да, но что-то не понял видать)

@StahLHerZRocK 3 жыл бұрын

эх, даже ipsec в микротике через задницу сделан =(

@knoppix20 4 жыл бұрын

с никитой тарыкиным скооперируйтесь по этой теме

@USSRxUSSR 4 жыл бұрын

Только вчера пытался сам настроить l2tp на микротике... В интернете 3 с половиной инструкции и все блин РАЗНЫЕ. Вариативность это круто в RPG но блин не настройке роутера и не в его интерфейсе. Посмотрев видео окончательно убедился что mikrotik это не про "настроил и забыл" а " помучился и забил" Если даже у человека с таким опытом возникают проблемы то что уж говорить про обычных, пусть даже опытных пользователей. В итоге переход с keenetic на mikrotik отложил в долгий ящик.

@icipher6730 4 жыл бұрын

Не знаю как там с site-to-site, но в роли L2TP IPsec сервера для динамического подключения удалённых, да и локальных клиентов Микротик настраивается довольно просто. Лично делал две недели назад. Единственная проблема, с которой я столкнулся, и пока не нашёл решения (потому что это явно какая-то очень специфичная хрень) - то, что ровно каждые 7 часов (плюс-минут 10 минут) сервер рубит соединения с клиентами из-за того, что якобы они не отвечают на запросы магическими пакетами, но это уже мелочь, т.к. переподключение делается мгновенно. Инструкции разные потому что за последнюю пару лет там конкретно перелопатили PPP и IPsec. Если уж на то пошло, то и для Кинетика можно до сих пор найти разные варианты инструкций по настройке L2TP IPsec сервера. Да и вообще, VPN и шифрование трафика редко бывает безгеморройным, я даже с Кинетиком долбился в своё время дольше, чем с Микротиком из-за его общей "домохозяечной" сущности (тот факт, что к целому ряду тонких настроек там можно получить доступ только через архаичный CLI уже о многом говорит).

@vesselcourt 4 жыл бұрын

Icipher Посоветуйте пожалуйста актуальную инструкцию. Никак не могу настроить VPN server на Микротик. В последних прошивках вс> поменяли

@moscowstyle6978 4 жыл бұрын

@@vesselcourt pptp?

@user-pu4we1xj8r 4 жыл бұрын

MikroTik это не для пользователей вообще. Без знаний на уровне курса MTCNA и основ работы сетей к нему даже притрагиваться не стоит. По мануалам из интернета настраивать дохлый номер - в большинстве случаев они не правильные. Если Вы сисадмин, то пройдите курсы MTCNA и MTCTCE (как минимум) и тут Вы поймёте, что всё чем Вы пользовались раньше это всё полная шляпа. А так же приходит понимание, что если что-то не настраивается, то скорее всего дело не в Микротике, а просто тебе самому знаний не хватает. Ну а если Вы не сисадмин, то берите Keenetic или роутеры на OpenWrt - для бытового применения то что надо.

@EvgenyRejnovskey 3 жыл бұрын

@@user-pu4we1xj8r как же я это пытаюсь настроить без образования Админа...))

@moscowstyle6978 4 жыл бұрын

как же я ушатался в своём время дружить через ipsec- kerio control и микрота -site to site.......

@FFAMax1 4 жыл бұрын

Ну уж определись, или развлекаться, или вещать, а то вот так непрофессионально получается с этими накладками. Исправляйтесь.

@vkb. 4 жыл бұрын

Так наоборот интереснее, иначе можно просто видео смотреть, где показывают какие кнопочки нажимать.

@rostov3590 2 жыл бұрын

Красиво конечно. но для не совсем опытных не понятно. Канал расчитан на людей которые уже в теме конкретно с микротом не один пяток лет. Расчитано скорее на костяк сформировавшихся людей. не в обиду автору, но скорее не учишь, а больше как (знаете как есть учителя, преподы отчитали тему получили зп и им насрать понял кто что то или нет)