win2003端和winxp端的连接是自动协商的,同一家的东西就是好
我的实验结果是,在ROS3.20下面,不管设不设安全策略,nat 内的xp都连不上 ros
ros4.8下面,不设安全策略,ipsec 的1 2 阶段协商成功,但l2tp无法启动
May/16/2010 19:49:42 ipsec respond new phase 1 negotiation: 192.168.111.2<=>192.168.111.1
May/16/2010 19:49:42 ipsec begin Identity Protection mode.
May/16/2010 19:49:42 ipsec received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May/16/2010 19:49:42 ipsec received Vendor ID: FRAGMENTATION
May/16/2010 19:49:42 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May/16/2010 19:49:42 ipsec
May/16/2010 19:49:42 ipsec ISAKMP-SA established 192.168.111.2-192.168.111.1 spi:a348f308c5350ce8:6b52c1972efd3ec2
May/16/2010 19:49:42 ipsec respond new phase 2 negotiation: 192.168.111.2<=>192.168.111.1
May/16/2010 19:49:42 ipsec no policy found, try to generate the policy : 192.168.121.2/32 192.168.111.2/32 proto=udp dir=in
May/16/2010 19:49:42 ipsec IPsec-SA established: ESP/Transport 192.168.111.1->192.168.111.2 spi=201063362(0xbfbfbc2)
May/16/2010 19:49:42 ipsec IPsec-SA established: ESP/Transport 192.168.111.2->192.168.111.1 spi=3491752769(0xd01feb41)
到这里就停了
设了安全策略,下面就是l2tp ppp部分了 我用的4.6的,没做太多测试。直接用wiki上提供的方式就连接上去了。粗粗看了一下,好像和你提供的方法差不多 回复 15# zhjchina
vpnserver端配置:
请参阅前几天的日志,里面也包含了客户端的设置
http://mdctmk.blog.163.com/blog/static/162927265201032464428435/
前后分得有点开了,这篇在前面那个网址:L 回复 17# zhjchina
安全策略那块有配置吗,我怎么照它说的设得不行 回复 19# mdctmk
您的网关是用什么做的 另外扫了一下你写的RouterOS设置随笔。其中关于masquerade有一处不妥。
srcnat的时候或者指定 src address,或者指定 out-interface,什么都不指定,导致数据在WAN网卡和LAN卡上都做了NAT,你可以自己抓包看看。
也许对客户端简单的上网应该没问题,但是或许会导致不可预料的问题。 就算没有其他问题,也导致了系统的无谓负担。 回复 21# zhjchina
多谢指点,接触ROS还没几天 我刚才按wiki的设法试了下,拨号就直接768了 不讨论这个问题了。。我现在不搞L2TP/ipsec了,客户端配置太麻烦。 如果有3g或ADSL,能直接拨号是挺简单的. 请各位大侠指点下个简单的方法啊
感谢zhjchina兄了,大半夜的不容易啊 vpn还是WINDOWS的最简单了,现在用把端口映射到NAT后的WIN2003上面,远程客户端直拔和NAT后都可以连了,用得挺好。感觉ROS的NAT-T功能有点虚假。 http://forum.mikrotik.com/viewtopic.php?f=2&t=33595
到6月25日,还有人报告ros 5.x IPSEC 无法NAT-T,看来不用再在ROS上继续试NAT-T了.
如果ROS的IPSEC 用的是OPENVPN,当前的OPENVPN版本是支持NAT-T的
NAT-T :据说openswan 版本要在2.6.22以上,反正2.6.21不行,2.6.24就可以了 回复 13# zhjchina
我也想不出来,不过是自己试出来的
页:
1
[2]