网关后的客户端连接ROS l2tp ipsec vpn

mdctmk · 发表于 2010-5-16 23:28:33

回复 14# mdctmk

win2003端和winxp端的连接是自动协商的,同一家的东西就是好

我的实验结果是,在ROS3.20下面,不管设不设安全策略,nat 内的xp都连不上 ros
ros4.8下面,不设安全策略,ipsec 的1 2 阶段协商成功,但l2tp无法启动
May/16/2010 19:49:42 ipsec respond new phase 1 negotiation: 192.168.111.2[500]<=>192.168.111.1[61682]
May/16/2010 19:49:42 ipsec begin Identity Protection mode.
May/16/2010 19:49:42 ipsec received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May/16/2010 19:49:42 ipsec received Vendor ID: FRAGMENTATION
May/16/2010 19:49:42 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May/16/2010 19:49:42 ipsec
May/16/2010 19:49:42 ipsec ISAKMP-SA established 192.168.111.2[500]-192.168.111.1[61682] spi:a348f308c5350ce8:6b52c1972efd3ec2
May/16/2010 19:49:42 ipsec respond new phase 2 negotiation: 192.168.111.2[500]<=>192.168.111.1[61682]
May/16/2010 19:49:42 ipsec no policy found, try to generate the policy : 192.168.121.2/32[1701] 192.168.111.2/32[1701] proto=udp dir=in
May/16/2010 19:49:42 ipsec IPsec-SA established: ESP/Transport 192.168.111.1[0]->192.168.111.2[0] spi=201063362(0xbfbfbc2)
May/16/2010 19:49:42 ipsec IPsec-SA established: ESP/Transport 192.168.111.2[0]->192.168.111.1[0] spi=3491752769(0xd01feb41)
到这里就停了
设了安全策略,下面就是l2tp ppp部分了

zhjchina · 发表于 2010-5-16 23:30:49

我用的4.6的，没做太多测试。直接用wiki上提供的方式就连接上去了。粗粗看了一下，好像和你提供的方法差不多

mdctmk · 发表于 2010-5-16 23:32:10

回复 15# zhjchina

vpnserver端配置:

请参阅前几天的日志，里面也包含了客户端的设置

http://mdctmk.blog.163.com/blog/static/162927265201032464428435/

前后分得有点开了,这篇在前面那个网址

mdctmk · 发表于 2010-5-16 23:33:11

回复 17# zhjchina

安全策略那块有配置吗,我怎么照它说的设得不行

mdctmk · 发表于 2010-5-16 23:46:33

回复 19# mdctmk

您的网关是用什么做的

zhjchina · 发表于 2010-5-16 23:49:54

另外扫了一下你写的RouterOS设置随笔。其中关于masquerade有一处不妥。

srcnat的时候或者指定 src address，或者指定 out-interface，什么都不指定，导致数据在WAN网卡和LAN卡上都做了NAT，你可以自己抓包看看。

也许对客户端简单的上网应该没问题，但是或许会导致不可预料的问题。

zhjchina · 发表于 2010-5-16 23:50:38

就算没有其他问题，也导致了系统的无谓负担。

mdctmk · 发表于 2010-5-16 23:54:42

回复 21# zhjchina

多谢指点,接触ROS还没几天

mdctmk · 发表于 2010-5-16 23:59:00

我刚才按wiki的设法试了下,拨号就直接768了

zhjchina · 发表于 2010-5-17 00:07:02

不讨论这个问题了。。我现在不搞L2TP/ipsec了，客户端配置太麻烦。

mdctmk · 发表于 2010-5-17 00:11:40

如果有3g或ADSL,能直接拨号是挺简单的.

mdctmk · 发表于 2010-5-17 00:14:04

请各位大侠指点下个简单的方法啊

感谢zhjchina兄了,大半夜的不容易啊

mdctmk · 发表于 2010-6-29 15:27:41

vpn还是WINDOWS的最简单了，现在用把端口映射到NAT后的WIN2003上面，远程客户端直拔和NAT后都可以连了，用得挺好。感觉ROS的NAT-T功能有点虚假。

mdctmk · 发表于 2010-6-29 15:42:46

http://forum.mikrotik.com/viewtopic.php?f=2&t=33595

到6月25日，还有人报告ros 5.x IPSEC 无法NAT-T,看来不用再在ROS上继续试NAT-T了.

如果ROS的IPSEC 用的是OPENVPN，当前的OPENVPN版本是支持NAT-T的

NAT-T :据说openswan 版本要在2.6.22以上,反正2.6.21不行,2.6.24就可以了

mdctmk · 发表于 2010-7-23 14:07:43

回复 13# zhjchina

我也想不出来，不过是自己试出来的

账号		自动登录	找回密码
密码			注册

[vpn] 网关后的客户端连接ROS l2tp ipsec vpn