Где и как в StrongSwan (IPSec) настроить необходимые предложения (proposals), чтобы Mikrotik мог подключиться к L2TP серверу? И нужно ли это делать?

Question

Бенедикт

linux , mikrotik , системное-администрирование

Где и как в StrongSwan (IPSec) настроить необходимые предложения (proposals), чтобы Mikrotik мог подключиться к L2TP серверу? И нужно ли это делать?

С Windows к серверу подключение осуществлено без проблем. Однако при попытке подключения через Mikrotik в логах возникает следующая ошибка: <br/> Что необходимо сделать для нормализации работы соединения?

9 января 2025 г. 12:43

Ответы на вопрос 1

Похожие вопросы

Answer 1

Для настройки StrongSwan, чтобы он мог взаимодействовать с маршрутизаторами Mikrotik по L2TP, вам нужно убедиться, что конфигурация VPN сервера правильно настроена и поддерживает необходимые параметры. Рассмотрим шаги, которые могут помочь в этом:

### 1. Настройка StrongSwan для L2TP

Сначала проверьте конфигурацию вашего `ipsec.conf` и `ipsec.secrets` на сервере StrongSwan.

**ipsec.conf**
```plaintext
config setup
    charonstart=yes
    uniqueids=no

conn L2TP-PSK
    keyexchange=ikev1
    authby=secret
    pfs=no
    left=<Ваш_IP_адрес_сервера>
    leftsubnet=0.0.0.0/0
    right=%any
    rightprotoport=17/1701
    auto=add
```

**ipsec.secrets**
```plaintext
<Ваш_IP_адрес_сервера> : PSK "Ваш_предварительный_ключ"
```

### 2. Настройка `xl2tpd`

Для работы L2TP необходимо также правильно настроить `xl2tpd`. Создайте или измените файл конфигурации `/etc/xl2tpd/xl2tpd.conf`:

```plaintext
[lac myvpn]
lns = <Ваш_IP_адрес_сервера>
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
```

Пример файла `/etc/ppp/options.xl2tpd`:

```plaintext
require-mschap-v2
ms-dns <DNS-серверы>
noccp
ignore-interval
debug
unit = 1
name = <Имя_пользователя>
password = <Пароль>
```

### 3. Убедитесь, что у вас установлен необходимый модуль и все сервисы запущены

Убедитесь, что у вас установлены `strongswan` и `xl2tpd`, а также все сервисы работают.

```bash
sudo systemctl restart strongswan
sudo systemctl restart xl2tpd
```

### 4. Проверьте настройки Mikrotik

- Убедитесь, что Mikrotik настроен правильно на использование L2TP VPN. Проверьте следующие настройки на Mikrotik:

1. **IP → VPN → L2TP Client:**
    - Connect To: <Ваш_IP_адрес_сервера>
    - User: <Имя_пользователя>
    - Password: <Пароль>
    - Default Route Distance: 1 (или как вам нужно)
  
2. Убедитесь, что в разделе `IP → Firewall → NAT` добавлены соответствующие правила NAT.

3. Параметры VPN клиента на Mikrotik должны соответствовать поддерживаемым параметрам на стороне сервера. Убедитесь, что параметры шифрования и аутентификации соответствуют.

### 5. Логирование и отладка

Проверьте журналы на стороне сервера и клиента, чтобы определить возможные проблемы. Для StrongSwan логи можно посмотреть с помощью команды:

```bash
sudo journalctl -u strongswan
```

На Mikrotik используйте команду:

```bash
/log print
```

### Заключение

В целом, Mikrotik должен поддерживать соединение с StrongSwan, если все параметры настроены правильно. Основными моментами являются корректные настройки протоколов и параметры шифрования/аутентификации. Если у вас возникают ошибки, они могут быть связаны с несовпадением настроек, несоответствием протоколов или неправильной аутентификацией.