找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: mdctmk

[vpn] 网关后的客户端连接ROS l2tp ipsec vpn

[复制链接]
 楼主| 发表于 2010-5-16 23:28:33 | 显示全部楼层
回复 14# mdctmk


    win2003端和winxp端的连接是自动协商的,同一家的东西就是好

我的实验结果是,在ROS3.20下面,不管设不设安全策略,nat 内的xp都连不上 ros
ros4.8下面,不设安全策略,ipsec 的1 2 阶段协商成功,但l2tp无法启动
May/16/2010 19:49:42 ipsec respond new phase 1 negotiation: 192.168.111.2[500]<=>192.168.111.1[61682]
May/16/2010 19:49:42 ipsec begin Identity Protection mode.
May/16/2010 19:49:42 ipsec received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May/16/2010 19:49:42 ipsec received Vendor ID: FRAGMENTATION
May/16/2010 19:49:42 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May/16/2010 19:49:42 ipsec
May/16/2010 19:49:42 ipsec ISAKMP-SA established 192.168.111.2[500]-192.168.111.1[61682] spi:a348f308c5350ce8:6b52c1972efd3ec2
May/16/2010 19:49:42 ipsec respond new phase 2 negotiation: 192.168.111.2[500]<=>192.168.111.1[61682]
May/16/2010 19:49:42 ipsec no policy found, try to generate the policy : 192.168.121.2/32[1701] 192.168.111.2/32[1701] proto=udp dir=in
May/16/2010 19:49:42 ipsec IPsec-SA established: ESP/Transport 192.168.111.1[0]->192.168.111.2[0] spi=201063362(0xbfbfbc2)
May/16/2010 19:49:42 ipsec IPsec-SA established: ESP/Transport 192.168.111.2[0]->192.168.111.1[0] spi=3491752769(0xd01feb41)
到这里就停了
设了安全策略,下面就是l2tp ppp部分了
routeros
回复

使用道具 举报

发表于 2010-5-16 23:30:49 | 显示全部楼层
我用的4.6的,没做太多测试。直接用wiki上提供的方式就连接上去了。粗粗看了一下,好像和你提供的方法差不多
routeros
回复

使用道具 举报

 楼主| 发表于 2010-5-16 23:32:10 | 显示全部楼层
回复 15# zhjchina


    vpnserver端配置:

请参阅前几天的日志,里面也包含了客户端的设置

http://mdctmk.blog.163.com/blog/static/162927265201032464428435/

前后分得有点开了,这篇在前面那个网址
routeros
回复

使用道具 举报

 楼主| 发表于 2010-5-16 23:33:11 | 显示全部楼层
回复 17# zhjchina


    安全策略那块有配置吗,我怎么照它说的设得不行
routeros
回复

使用道具 举报

 楼主| 发表于 2010-5-16 23:46:33 | 显示全部楼层
回复 19# mdctmk


    您的网关是用什么做的
routeros
回复

使用道具 举报

发表于 2010-5-16 23:49:54 | 显示全部楼层
另外扫了一下你写的RouterOS设置随笔。其中关于masquerade有一处不妥。

srcnat的时候或者指定 src address,或者指定 out-interface,什么都不指定,导致数据在WAN网卡和LAN卡上都做了NAT,你可以自己抓包看看。

也许对客户端简单的上网应该没问题,但是或许会导致不可预料的问题。
routeros
回复

使用道具 举报

发表于 2010-5-16 23:50:38 | 显示全部楼层
就算没有其他问题,也导致了系统的无谓负担。
routeros
回复

使用道具 举报

 楼主| 发表于 2010-5-16 23:54:42 | 显示全部楼层
回复 21# zhjchina


    多谢指点,接触ROS还没几天
routeros
回复

使用道具 举报

 楼主| 发表于 2010-5-16 23:59:00 | 显示全部楼层
我刚才按wiki的设法试了下,拨号就直接768了
routeros
回复

使用道具 举报

发表于 2010-5-17 00:07:02 | 显示全部楼层
不讨论这个问题了。。我现在不搞L2TP/ipsec了,客户端配置太麻烦。
routeros
回复

使用道具 举报

 楼主| 发表于 2010-5-17 00:11:40 | 显示全部楼层
如果有3g或ADSL,能直接拨号是挺简单的.
routeros
回复

使用道具 举报

 楼主| 发表于 2010-5-17 00:14:04 | 显示全部楼层
请各位大侠指点下个简单的方法啊

感谢zhjchina兄了,大半夜的不容易啊
routeros
回复

使用道具 举报

 楼主| 发表于 2010-6-29 15:27:41 | 显示全部楼层
vpn还是WINDOWS的最简单了,现在用把端口映射到NAT后的WIN2003上面,远程客户端直拔和NAT后都可以连了,用得挺好。感觉ROS的NAT-T功能有点虚假。
routeros
回复

使用道具 举报

 楼主| 发表于 2010-6-29 15:42:46 | 显示全部楼层
http://forum.mikrotik.com/viewtopic.php?f=2&t=33595

到6月25日,还有人报告ros 5.x IPSEC 无法NAT-T,看来不用再在ROS上继续试NAT-T了.

如果ROS的IPSEC 用的是OPENVPN,当前的OPENVPN版本是支持NAT-T的

NAT-T :据说openswan 版本要在2.6.22以上,反正2.6.21不行,2.6.24就可以了
routeros
回复

使用道具 举报

 楼主| 发表于 2010-7-23 14:07:43 | 显示全部楼层
回复 13# zhjchina


    我也想不出来,不过是自己试出来的
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 05:20 , Processed in 0.082175 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表