Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
Дата обновления: 19.10.2023Теги: VPN сервер VPN Mikrotik
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (сталкивался на Windows, iPhone) и на сервере Mikrotik (в смысле что все вроде бы сделано верно), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение:
"failed to pre-process ph2 packet"
на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, клиент iPhone просто просто не может подключитсья.
Данная проблема может иметь место на прошивках вплоть до последних стабильных версий (например, на 6.47.4).
Решение: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в IP - IPSec - Peers в поле Policy Template Group.
Вариант 2 (по сообщению Hopy), еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
/ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Вариант 3 (опробован лично):
/ip ipsec policy
set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes
Через Winbox не выходило никак. Только через терминал.
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой.
Ошибки firewall на всех этапах
Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input - серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.
Читайте здесь про firewall, видимо он не даёт вам стучаться на локальные ip
Chain = srcnat
Src. address = 192.168.88.201-192.168.88.220 — диапазон VPN адресов
Dst. address = !192.168.88.201-192.168.88.220 — все, что не входит в диапазон VPN
Action = masquerade
Авторизуйтесь для добавления комментариев!