Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik

Дата обновления: 19.10.2023

При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.

Proxy-arp на внутреннем бридже

При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.

Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.

Глюк default policy на микротик

При абсолютно верных настройках L2TP/IPSec подключения на клиенте (сталкивался на Windows, iPhone) и на сервере Mikrotik (в смысле что все вроде бы сделано верно), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение:

"failed to pre-process ph2 packet"

на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, клиент iPhone просто просто не может подключитсья.

Данная проблема может иметь место на прошивках вплоть до последних стабильных версий (например, на 6.47.4).

Решение: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в IP - IPSec - Peers в поле Policy Template Group.

Вариант 2 (по сообщению Hopy), еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:

/ip ipsec peer set 0 policy-template-group=*FFFFFFFF

Вариант 3 (опробован лично):

/ip ipsec policy
set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes

Через Winbox не выходило никак. Только через терминал.

Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой.

Ошибки firewall на всех этапах

Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input - серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.

11.08.2016 16:22 Sergey.K

Подскажите пожалуйста, настраивал всё по вашей статье, но к сожалению возникла проблема с обнаружением внутренних ресурсов сети, если заходить через туннель. Включил proxy-arp на bridge-local, но это не помогло. Правила NAT настраивал как в Вашей статье. Материал крайне полезный, спасибо!

17.04.2017 16:17 max

Присоединяюсь к вопросу выше, такая же проблема, не могу пропинговать внутренние IP. Подскажите пожалуйста, что не так...

03.07.2018 16:33 og-vault13@yandex.ru

https://bozza.ru/art-248.html
Читайте здесь про firewall, видимо он не даёт вам стучаться на локальные ip

24.04.2019 11:55 gr1ffon

Да, когда локальная сеть из VPN недоступна, надо в IP -> Firewall -> NAT добавить правило:
Chain = srcnat
Src. address = 192.168.88.201-192.168.88.220 — диапазон VPN адресов
Dst. address = !192.168.88.201-192.168.88.220 — все, что не входит в диапазон VPN
Action = masquerade

Авторизуйтесь для добавления комментариев!