ShirazOnline
صفحه 1 از 2 12 آخرینآخرین
نمایش نتایج: از شماره 1 تا 10 , از مجموع 17

موضوع: مشکل با پروتکل l2tp در میکروتیک

  1. #1
    کاربر عادی soft-c آواتار ها
    تاریخ عضویت
    Sep 2013
    نوشته ها
    22
    تشکرها / پسندها

    Arrow مشکل با پروتکل l2tp در میکروتیک

    شماتیک شبکه من به این صورت است :
    اینترنت وارد مودم میشه و از مودم به وسیله وایرلس های میکروتیک به فایروال میرسه ( فایروال ک ر ی و ) . من می خوام از بیرون شبکه بتونم به شبکه داخلی vpn بزنم . البته سرور vpn روی فایروالم فعاله .
    حالا می خواستم بدونم چطوری میتونم پورت ها و پروتکل های مرتبط با l2tp یا همون vpn را از میکروتیک رد کنم ؟

    چون من قبلا مودم را bridge کردم و از میکروتیک یک ppoe زدم . منتها وقتی vpn می خواهد connect بشه گویا میکروتیک بسته های مربوط به l2tp را رد میکنه . این هم عکسش :
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]

  2. # ADS
    Circuit advertisement
    تاریخ عضویت
    Always
    نوشته ها
    Many
     

  3. #2
    کاربر مستعد cybercoder آواتار ها
    تاریخ عضویت
    Jul 2008
    نوشته ها
    617
    تشکرها / پسندها

    پیش فرض

    دقیقا مفهوم مشکلتون رو درک نکردم منظورتون از رد میکنه این هست که عبور میده (forward) یا لغو (drop) می کنه؟

    در rule های فایروال برای forward اضافه کنید که ترافیک l2tp رو accept کنه بعد counter رو ببینید مشخص می شه که روتر شما ترافیک مربوطه رو عبور میده یا خیر.
    ویرایش توسط cybercoder : 2017/01/22 در ساعت 01:57 AM
    Microsoft Certified IT Professional,Mikrotik Certified Consultant/Engineer => http://www.netd.ir

  4. #3
    کاربر عادی soft-c آواتار ها
    تاریخ عضویت
    Sep 2013
    نوشته ها
    22
    تشکرها / پسندها

    پیش فرض

    ببینید من اومدم تنظیمات فایروال و Ipsec را بر این اساس تغییر دادم :
    firewall--> Filter
    0 XI chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""

    1 XI chain=input action=accept protocol=udp dst-port=1701 log=yes log-prefix=""

    2 XI chain=input action=accept protocol=udp dst-port=4500 log=no log-prefix=""

    3 XI chain=input action=accept protocol=ipsec-esp log=yes log-prefix=""
    Firewall -->Nat
    1 XI chain=dstnat action=dst-nat to-addresses=192.168.20.10 protocol=udp
    dst-port=500 log=no log-prefix=""

    2 XI chain=dstnat action=dst-nat to-addresses=192.168.20.10 protocol=udp
    dst-port=4500 log=no log-prefix=""

    3 XI chain=dstnat action=dst-nat to-addresses=192.168.20.10 protocol=udp
    dst-port=1701 log=no log-prefix=""

    4 XI chain=dstnat action=dst-nat to-addresses=192.168.20.10 protocol=ipsec-esp
    log=no log-prefix=""
    IPSEC-->Policies :
    0 T *group=default src-address=::/0 dst-address=::/0 protocol=all
    IPsec-->Peers :

    address=0.0.0.0/0local-address=:: passive=no port=500
    auth-method=pre-shared-key secret="*********" generate-policy=port-strict
    policy-template-group=default exchange-mode=main-l2tp
    send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1
    enc-algorithm=3des dh-group=modp1024 lifetime=1d dpd-interval=disable-dpd
    dpd-maximum-failures=5
    IPSEC-->Proposal :
    0* name="default" auth-algorithms=sha1
    enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
    pfs-group=modp1024
    منتها وقتی قسمت filrewall-->Nat را disable می کنیم می بینیم که بسته های 4500 و 500 و 1701 وارد میکروتیک می شوند ( مشاهده در قسمت Connection یا مشاده count جلوی rule ها )

    ولی وقتی قسمت nat را فعال می کنیم ( یعنی اون 4 تا دستور ) می بینیم که فقط پورت 500 وارد میشه و بقیه پورت ها وارد میکروتیک نمیشوند .
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]

  5. #4
    کاربر مستعد cybercoder آواتار ها
    تاریخ عضویت
    Jul 2008
    نوشته ها
    617
    تشکرها / پسندها

    پیش فرض

    یک بار کلا dst nat کن ترافیک رو به VPN Server ببین چی میشه. اونوقت می تونی توی Connection Tracking ببینی که دقیقا چه پورت هایی استفاده می شه.
    انقدر یادم هست که در SSL کافی نبود که فقط 443 رو dst-nat کنم اون هم شبیه همین هست چون TLS هست در هر دو مورد.
    Microsoft Certified IT Professional,Mikrotik Certified Consultant/Engineer => http://www.netd.ir

  6. #5
    کاربر عادی soft-c آواتار ها
    تاریخ عضویت
    Sep 2013
    نوشته ها
    22
    تشکرها / پسندها

    پیش فرض

    فقط همون پورت 500 منتقل میشه

  7. #6
    کاربر مستعد cybercoder آواتار ها
    تاریخ عضویت
    Jul 2008
    نوشته ها
    617
    تشکرها / پسندها

    پیش فرض

    این رو مطالعه بفرمایید:
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    Microsoft Certified IT Professional,Mikrotik Certified Consultant/Engineer => http://www.netd.ir

  8. Likes soft-c liked this post
  9. #7
    کاربر عادی soft-c آواتار ها
    تاریخ عضویت
    Sep 2013
    نوشته ها
    22
    تشکرها / پسندها

    پیش فرض

    توی لینکی که دادید این جمله بود :
    An IPSec access concentrator can not be behind NAT.
    Only IPSec clients can be behind NAT.
    منظورش از این جمله چیه؟

  10. #8
    کاربر مستعد cybercoder آواتار ها
    تاریخ عضویت
    Jul 2008
    نوشته ها
    617
    تشکرها / پسندها

    پیش فرض

    پورت 4500 udp رو هم dst-nat کردی که با استفاده از NAT Traversal بیاد IPSec-Pass-through انجام بده.
    Microsoft Certified IT Professional,Mikrotik Certified Consultant/Engineer => http://www.netd.ir

  11. #9
    کاربر مستعد cybercoder آواتار ها
    تاریخ عضویت
    Jul 2008
    نوشته ها
    617
    تشکرها / پسندها

    پیش فرض

    یک سوالی VPN Server ت NAT Traversal ش فعاله؟
    Microsoft Certified IT Professional,Mikrotik Certified Consultant/Engineer => http://www.netd.ir

  12. #10
    کاربر مستعد cybercoder آواتار ها
    تاریخ عضویت
    Jul 2008
    نوشته ها
    617
    تشکرها / پسندها

    پیش فرض

    منظورش از این جمله چیه؟
    بی خود میگه من قبلا StrongSwan رو پشت NAT گذاشتم یک بار.
    شما یک بار کل ترافیک رو dst-NAT کن روی server داخل ت. بعد NAT Traversal رو فعال کن روش. من احتمال میدم مشکل از تنظیمات اون سرورت هست نه روتر.
    Microsoft Certified IT Professional,Mikrotik Certified Consultant/Engineer => http://www.netd.ir

صفحه 1 از 2 12 آخرینآخرین

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. فرق l2tp با l2tp/ipsec
    توسط hamedwolf در انجمن مایکروسافت(Microsoft)
    پاسخ ها: 5
    آخرين نوشته: 2011/10/10, 10:23 PM
  2. مشكل يوزر با كانكشن l2tp
    توسط makan در انجمن میکروتیک (Mikrotik)
    پاسخ ها: 28
    آخرين نوشته: 2011/04/15, 07:18 PM
  3. L2tp سرور در میکروتیک
    توسط alijorjani در انجمن میکروتیک (Mikrotik)
    پاسخ ها: 4
    آخرين نوشته: 2011/03/14, 08:55 PM
  4. ISA 2006 as an L2TP/IPsec VPN server and Mac OS X 10.4.x as L2TP/IPsec VPN client
    توسط patris_70 در انجمن ISA & Forefront Server
    پاسخ ها: 2
    آخرين نوشته: 2010/03/26, 11:33 PM

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •