MikroTik router - jak nastavit L2TP IPsec server pro Android, iPhone, Windows

Co nejvíce stručné řešení pro vývojáře a linux administrátory

Na superuser.cz nenaleznete žádný zbytečný obsah, vždy se jde přímo k věci, denně se zde objevují nové problémy a jejich řešení...

Začít používat

20.05.2020 napsal Hanz (update: 20.05.2020)
0

MikroTik router - jak nastavit L2TP IPsec server pro Android, iPhone, Windows

V tomto návodu si nastavíme na routeru Mikrotik VPN server L2TP / IPsec server, který půjde použít na zařízení Android, iPhone, Windows, Linux či NAS Synology.

Naše nastavení:
------------------------------------
WAN - eth5
IP pool 172.16.85.1

Nastavení Mikrotik VPN server L2TP / IPsec



IP - Firewall
------------------------------------
/ip firewall filter
add action=accept chain=input protocol=ipsec-esp in-interface=ether5 comment="L2TP-IPSec"
add action=accept chain=input protocol=ipsec-ah in-interface=ether5 comment="L2TP-IPSec"
add action=accept chain=input in-interface=ether5 protocol=udp dst-port=500 comment="L2TP-IPSec"
add action=accept chain=input in-interface=ether5 protocol=udp dst-port=1701 comment="L2TP-IPSec"
add action=accept chain=input in-interface=ether5 protocol=udp dst-port=4500 comment="L2TP-IPSec"


IP - Pool
------------------------------------
Name = l2tp_pool
Addresses = 172.16.85.10-172.16.85.15


PPP - Profiles
------------------------------------
name: ipsec_vpn
local address: 172.16.85.1
remote address: l2tp_pool
dns server: 192.168.85.254
change TCP MSS: default


PPP - Interface tab - L2TP Server
------------------------------------
Enabled
MTU 1460
MRU 1460
Keepalive 30
Default profile ipsec_vpn
Auth mschap2 mschap1
User IPsec yes
IPsec secret: heslo
Allow fatst path: yes



IP - IPsec - Policy proposals
------------------------------------
default:
auth. algorithms: jen sha1
encryption algorithms: aes128, aes192, aes256
PFS group: modp1024


PPP - Secrets
------------------------------------
name: tvůj nickname, nebo cokoliv, třeba vpnuser
password: vymysli si heslo pro tohoto uživatele
service: l2tp
profile: ipsec_vpn


Bridge - arp-proxy
------------------------------------
Bridge -> tab Bridge -> položka bridge1 (popř. bridge-local)
přepnout ARP z enabled na proxy-arp


Možné chyby


l2tp: terminating...-could not detemine local IP address


Celá chyba:
------------------------------------
ISAKMP-SA established ...
firrst L2TP UDP packet received from ...
iphone loggen in, 0.0.0.0
l2tp-iphone: authenticated
l2tp-iphone: terminating...-could not detemine local IP address
iphone logged out ...
l2tp-iphone: disconnected
purging ISAKMP-SA ...
ISAKMP-SA deleted

Oprava FIX:
------------------------------------
PPP profile chybělo Remote address l2tp_pool


Jak zapnout DEBUG pro L2TP / IPSec:


/system logging
add prefix=ipsec topics=ipsec


peer sent packet for dead phase2


phase1 negotiation failed due to time up


Celá chyba:
------------------------------------
peer sent packet for dead phase2
first L2TP UDP packet received from ...
pugring ISAKMP-SA
ISAKMP-SA deleted
respond new phase1 (Identity Protection):
respond new phase1 (Identity Protection):
ISAKMP-SA established
phase1 negotiation failed due to time up

Oprava FIX:
------------------------------------
povolit Ipsec policies





The English language is translated by machine - the translator can modify eg cited codes = it is better to use codes from the Czech original.

Mikrotik router - how to set up L2TP IPsec server for Android, iPhone, Windows

V tomto případě si můžete nastavit na routeru Mikrotik VPN server L2TP / IPsec server, který si můžete zapůjčit na zařízení Android, iPhone, Windows, Linux nebo NAS Synology.

Naše nastavení:
------------------------------------
WAN - eth5
IP pool 172.16.85.1

Nastavení serveru Mikrotik VPN L2TP / IPsec



IP - Firewall
------------------------------------
/ ip firewall filtr
add action = přijmout řetězec = vstupní protokol = ipsec-esp v rozhraní = ether5 comment = "L2TP-IPSec"
add action = přijmout řetězec = vstupní protokol = ipsec-ah v rozhraní = ether5 comment = "L2TP-IPSec"
add action = accept chain = input in-interface = ether5 protocol = udp dst-port = 500 comment = "L2TP-IPSec"
add action = accept chain = input in-interface = ether5 protocol = udp dst-port = 1701 comment = "L2TP-IPSec"
add action = přijmout řetězec = vstup v rozhraní = ether5 protokol = udp dst-port = 4500 comment = "L2TP-IPSec"


IP - Pool
------------------------------------
Název = l2tp_pool
Adresy = 172,16,85,10 - 172,16,85,15


PPP - Profily
------------------------------------
jméno: ipsec_vpn
místní adresa: 172.16.85.1
vzdálená adresa: l2tp_pool
dns server: 192.168.85.254
změnit TCP MSS: výchozí


PPP - karta rozhraní - server L2TP
------------------------------------
Povoleno
MTU 1460
MRU 1460
Keepalive 30
Výchozí profil ipsec_vpn
Autor mschap2 mschap1
Uživatel IPsec ano
IPsec tajemství: heslo
Povolit nejkratší cestu: ano



IP - IPsec - návrhy politik
------------------------------------
výchozí:
autor. algoritmy: jen sha1
šifrovací algoritmy: aes128, aes192, aes256
Skupina PFS: modp1024


PPP - Tajemství
------------------------------------
jméno: kdo přezdívka, nebo cokoli, oni vpnuser
heslo: vymysli si heslo pro tohoto uživatele
služba: l2tp
profil: ipsec_vpn


Bridge - arp-proxy
------------------------------------
Bridge -> záložka Bridge -> položka bridge1 (popř. Bridge-local)
přepnout ARP z povoleno na proxy-arp


Možné chyby


l2tp: terminating ...- nemohl zjistit lokální IP adresu


Celá chyba:
------------------------------------
ISAKMP-SA založena ...
první paket UDP L2TP přijatý od ...
iphone loggen in, 0.0.0.0
l2tp-iphone: ověřeno
l2tp-iphone: terminating ...- nemohl zjistit lokální IP adresu
iphone odhlášen ...
l2tp-iphone: odpojeno
čištění ISAKMP-SA ...
ISAKMP-SA odstraněn

Oprava Oprava:
------------------------------------
Profil PPP nepodlo Vzdálená adresa l2tp_pool


Jak zapnout DEBUG pro L2TP / IPSec:


/ logování systému
přidat prefix = ipsec témata = ipsec


peer poslal paket pro mrtvou fázi2


vyjednávání fáze 1 selhalo kvůli vypršení času


Celá chyba:
------------------------------------
partner poslal paket pro mrtvou fázi2
první L2TP UDP paket přijatý od ...
nafouknutí ISAKMP-SA
ISAKMP-SA odstraněn
reagovat na novou fázi 1 (ochrana identity):
reagovat na novou fázi 1 (ochrana identity):
Byla zřízena společnost ISAKMP-SA
Vyjednávání fáze 1 selhalo kvůli vypršení času

Oprava Oprava:
------------------------------------
povolit zásady IPsec
Vaše reakce na článek MikroTik router - jak nastavit L2TP IPsec server pro Android, iPhone, Windows

Napsat komentář k článku

Nenašli jste co jste hledali?

Zkuste se podívat na články z archivu

Další články

Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace