Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik

При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Proxy-arp на внутреннем бридже

При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.

Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.

Глюк default policy на микротик

При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph2 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).

Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.

По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:

ip ipsec peer set 0 policy-template-group=*FFFFFFFF

Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.

Ошибки firewall на всех этапах

Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input — серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка VPN подключения из Windows 10 до Mikrotik

В текущей заметке, я разберу, как из под Windows 10 Pro x64 настроить VPN подключение до домашней/рабочей сети где шлюз это оборудование на базе Mikrotik ( RB2011UiAS-2HnD ) версии 6.43. Кто будет смотреть ее не найдет ничего нового, это просто пошаговое руководство для самого себя.

Windows 10 Pro x64 (Version 10.0.17134.254) Настройка VPN подключения до Mikrotik

Исходные данные: средствами Mikrotik я получаю домен четвертого уровня, к примеру: 5281153fa719.sn.mynetname.net

• Далее через DNS записи своего блога www.ekzorchik.ru создаю CNAMEзапись вида: home.ekzorchik.ru = домен четвертого уровня . В Вашем случае если этого нет то либо покупать статический IP адрес, использовать DynDNS или что-либо еще у меня таких трудностей нет.
• По заметке поднимаю VPN/L2TP сервис на домашнем Mikrotik
• Создаю разрешающие правила и запрещающие

На системе под управлением Windows 10 Pro x64 настраиваю подключение к домашней сети посредством VPN соединения вида: l2tp + ipsec.

[stextbox style=»color: #ff00ff;»>На заметку: ну конечно же домена home.ekzorchik.ru нет в реальности, так что не пытайтесь подключиться или подобрать попадете в бан лист для блога, я увижу. [/stextbox]

Авторизуюсь в системе с использованием учетных записей администратора компьютера.

Win + R -> control.exe – (Просмотр: Категория) Мелкие значки – Центр управления сетями и общим доступом – «Создание и настройка нового подключения или сети» — «Подключение к рабочему месту» — «Использовать мое подключение к Интернету (VPN)»

• Адрес в интернете: home.ekzorchik.ru
• Имя объекта назначения: home
• Запомнить учетные данные: отмечаю галочкой

И нажимаю «Создать» окна «Подключение к рабочему месту», после перехожу на «Изменение параметров адаптера», по созданному подключению с именем «home» через правый клик мышью выбираю элемент «Свойства», затем вкладка «Безопасность»:

• Тип VPN: Протокол L2TP с IPsec (L2TP/IPsec)
• Потом «Дополнительные параметры» и указываю ключ ipsec
• «Для проверки подлинности использовать общий ключ»: Ключ : Aa1234567@!

После нажимаю «Разрешить следующие протоколы»: «Протокол Microsoft CHAP версии 2 (MS-CHAP-2)» и нажимаю ОК окна home: свойства, затем снова на созданном подключении home через правый клик мышью выбираю, но уже «Подключить/отключить», указываю логин и пароль и вуаля подключение к домашней сети успешно настроено.

Дальше уже в зависимости как настроен VPN и правила фаервола я получаю доступ к домашней сети/рабочей сети.

А так все шаги выполнены успешно. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

Mikrotik vpn windows 10 ошибка

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

PPPtP и Windows 10

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

А вот неожиданно обнаружилось, что клиенты на Windows 10 при попытке подключиться к микротику по PPtP не подключаются.
В логах микротика только поптыка подкючения.
А в логах винды вот это:

При этом микротик-микротик по pptp работает прекрасно.
Эта же винда и этот же микротик по L2TP — тоже без проблем.

Mikrotik vpn windows 10 ошибка

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Подключение PPTP через Mikrotik ошибка 806.

Всем привет!
Помогите пожалуйста разобраться, необходимо настроить пользователю vpn с компьютера, создается подключение стандартными средствами Windows, но при попытке авторизации выдает ошибку «Не удается создать VPN-соединение между данным компьютером и VPN-сервером. . не настроено на прохождение пакетов протокола GRE (Ошибка 806)». После курения интернетов добавил правило в FW:
/ip firewall filter
add chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre

Сам VPN идет через интернет, интернет поднят на микротике через pppoe, включен Маскарад. Провайдер никакие порты не блокирует. Если если нужно больше информации — пишите, постараюсь дать.

Буду очень признателен за помощь, Спасибо!

Тип шифрования какой?
По-умолчанию в винде стоит параметр, что пытаться использовать шифрование, а если
не удаётся, то отключиться.

Поэтому проверьте как у Вас настроен ВПН, можно там использовать шифрование или нет.
Также временно можно в винде в профиле подключения выбрать «не отключаться при не возможности шифровать».

Это обычные тонкости и их надо отловить и настроить.

1-е Правило WiFi — Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.

Тот же вопрос. VPN создан через Quick Setup (PPTP) как я понимаю.
Туннель простейший из клиентской 10 корп 1909.
Дальше мистика — с одних станций работает как часы VPN-создать
дефаулт, далее IP авто логин пароль и ВСЕ!
С других, все в точности такое же, тот же софт версии итп — никак.
И все было бы ничего, если бы на рабочих тачках внезапно коннект не пропадал бы! Причем первая фаза проходит — вот что видим в эвент логе
—-
CoId=<6946acd2-0770-46ee-81a4-67e687af3593>:
The user ENT800G2\user has successfully established a link to the Remote Access Server using the following device:
Server address/Phone Number = 67.167.186.50
Device = WAN Miniport (PPTP)
Port = VPN4-1
MediaType = VPN.
——
CoId=<6946acd2-0770-46ee-81a4-67e687af3593>: The link to the Remote Access Server has been established by user ENT800G2\user.
——
А далее вот ЭТО.
CoId=<6946acd2-0770-46ee-81a4-67e687af3593>: The user ENT800G2\user dialed a connection named test which has failed. The error code returned on failure is 806.

Причем на станции где все работало 2 месяца! еще вчера.
Что только не пробовал и ресет сети полный через перезагрузку и
удаление всех сетевых интерфейсов и netsh int ip reset

Как быть?
заранее спасибо!

PS — иногда ошибка 800.

Я уже тоже об этом писал чуть ранее. Что-то сломали/модернизировали в Windows. Она больше не хочет подключаться к микротику по pptp. Я был вынужден перейти на L2TP — работает в лет.

А вообще пора бы уже в микротик добавить wireguard. 🙂

Я уже тоже об этом писал чуть ранее. Что-то сломали/модернизировали в Windows. Она больше не хочет подключаться к микротику по pptp. Я был вынужден перейти на L2TP — работает в лет.

А вообще пора бы уже в микротик добавить wireguard. 🙂

Mikrotik, vpn, ошибка 806 — как и почему?

У Пети провайдер БитТелеком — у него работает.

У Васи провайдер БайтТелеком — у него не работает.

Значит Байт телеком что-то режет.

Если не работает у обоих, тут может быть и провайдер конторы МегаБайтТелеком.

Сообщение об ошибке говорит что на вашем роутере (через который вы выходите в интернет) должен быть настроен GRE тунель. Обычное дело, так как обычно домашние пользователи сидят за NAT с которым не дружит GRE.

Ищите в роутере настройку типа PPPoE pass-through и включите ее

p.s. еще вариант, поищите в роутере возможность подключаться по VPN самостоятельно.

оп!
если все работало, то тогда это не у вас проблема, а ваш провайдер вносит коррективы, например в РУ зоне это результат постройки великой китайской российской интернте-стены. Ругайтесь с ними.

Грубо говоря — провайдеры с подачи правительства сломали интернет нахрен.

Могу вам посоветовать настроить VPN куда-нибудь подальше от российский реалий, и уже через него каскадно подключаться к вашему рабочему — если заработает — это будет 99.(9)% доказательство что вина на вашем провайдере

Возможно конечно особые настройки на рабочем VPN, ориентированные на вашего провайдера или даже лично ваш ip адрес но это маловероятно