Mikrotik - L2TP Server s chybou 789.

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod unbsystem 11. 7. 2015 00:09

Kdo měl takový problém s chybou 789 při pořízení L2TP Serveru na Mikrotik?
Já jsem všechno nastavil podle tutoriálu či video na youtube, hromada vysvětlení jsem udělal vše možné.

Pouze problém je, že nelze připojit pomocí protokolu L2TP/IPSec, ale PPTP funguje bez problému. Jen chci abych měl L2TP. Chyba mi přijde napořád s číslem 789.

Chyba: 789 "The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer".

Vyzkoušel jsem připojit k L2TP VPN z Windows 8.1 a z MacOSX, oba nejdou připojit.

Díky za případnou pomoc.
unbsystem
Junior

Odeslat příspěvekod vladimir 11. 7. 2015 11:04

Toto je zcela obecná, nic moc neříkající chyba. Objeví se vždy, když spojení nebylo navázáno, například, když nastavení firewallu neumožní průchod portů UDP 500, 1701 a 4500 do Mikrotika.
Ale taky se objeví, když uděláš jakoukoliv chybu v nastavení, třeba si ve Windows popleteš heslo a předsdílený klíč - v tutoriálech všude píšou test a pak z toho vzniká zmatek.
Taky stačí, když zapomeneš v ipsec Peer nastavit Generate policy (u starých routerOS tam je jenom možnost aktivovat, u nových jsou tam dvě volby port override a port strict, musíš dát pozor, aby bylo něco nastaveno. )
V nových RouterOS taky jsou v ipsec / peer Hash algoritmy SHA1, SHA256 a SHA512, musíš nastavit SHA1. Ve starých byla jenom volba SHA.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod unbsystem 11. 7. 2015 17:29

Vladimire, diky za odpoved, je od Vas moc mile :-) takze na firewallu jsem dobre nastavil, aby se povolil input port UDP 500, 1701 a 4500. Jasne mam logiku, ze nastavil jsem predsdileny klic a vse to mam v poradku, dle tutorialu jsem neopsal, a vim co mam delat jako krok krokem.

Az na ten General Policy me zajima jak mam spravne nastavit? Port Strict nebo Port Override? U peer jasne hash algoritm mam SHA1, 3DES.

Diky, a vse mozne jsem vyzkousel, a problem to porad objevi s 789.
unbsystem
Junior

Odeslat příspěvekod vladimir 11. 7. 2015 18:28

Port strict nebo port overide: mně to funguje s oběma, jakmile tam není nic, objeví se mi chyba 789

-- 11. 7. 2015 18:37 --

Nemáš na WAN portu z nějakého důvodu nastavené dvě IPadresy? Co vidím na internetu, je známý bug, který se projevuje při dvou IP-adresách na WAN portu a způsobuje nefunkčnost L2TP/IPSEC.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod unbsystem 11. 7. 2015 21:05

Používám Comtrend z O2 a pracuje jako bridge mode, a pak z Comtrend vede kabel do mikrotiku, z mikrotiku vede druhy kabel do switche.

Nebo jak máte na mysli dvě IP adresy? Mohl byste mi prosím více popsat problému, cos našel bug na internetu.
unbsystem
Junior

Odeslat příspěvekod vladimir 12. 7. 2015 08:27

Jeden port Mikrotika může mít nakonfigurováno i více IP-adres. V address listu bys viděl dvě adresy pro rozhraní, které funguje jako WAN.
Například v tvém případě bys na WAN portu mohl mít veřejnou IP-adresu od O2 (bez veřejné by taky byla chyba 789 :), ale když ti funguje PPTP, veřejnou IP máš ) a současně třeba 10.0.0.1, abys mohl pohodlně vstupovat do webové administrace toho modemu, který má 10.0.0.128.

Jenom mě ještě napadá, kdybys měl IPV4 a IPV6 adresy, to by taky byly dvě adresy na jednom portu a bug by se taky teoreticky mohl projevit. (včera jsem na popis toho bugu narazil, ale teď to nemůžu najít. Ale o ipv6 tam nebylo ani slovo. Bylo tam psáno, že Mikrotik obdrží pakety z veřejné IP-adresy, ale odpověď pošle přes první adresu daného portu a když to není ta veřejná adresa... Bylo tam psáno, že je ta chyba reprodukovatelná od RouterOS verze 5 až do minimálně 6.14).
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod unbsystem 12. 7. 2015 21:22

Ptám se, kde bych našel nějaký log, který zjistí chybu, aby pak mi někdo mohl pomoct s tím vyřešením problému.
unbsystem
Junior

Odeslat příspěvekod vladimir 13. 7. 2015 19:15

1. vytvářel jsi pravidlo pro průchod firewallem pro UDP 500, 1701 a 4500. V počítadle pravidla se ti tedy musí objevit pakety. To je první kontrola.

2. V hlavním systémovém logu nic nevidíš? Pokud ne, tak L2TP pakety vůbec nedojdou, nebo nejsou rozpoznány.

U mne log vypadá takto:
Přílohy
Výstřižek.PNG
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod unbsystem 14. 7. 2015 00:55

1. pravidlo pro průchod firewallem pro UDP 500, 1701 a 4500 mám již nastavené, posílám screenshot, ano objeví se data paketů. První kontrola je OK. Je normální, že pakety projdou pouze na 500 a 4500. u 1701 je pořád s číslem 0.

ACCEPT.png
ACCEPT.png (9.52 ) Zobrazeno 7890 krát


2. Log zobrazuje chyby, posílám screenshot.

CHYBA.jpg
unbsystem
Junior

Odeslat příspěvekod vladimir 14. 7. 2015 16:22

Port 1701 se používá až v pozdější fázi spojení.

Zadáním tvé chyby do Googlu mi vychází, že je to chyba svázaná s určitými verzemi routerOS (konkrétně 6.18, možná i některých dalších verzí). Máš nahrané všechny dostupné aktualizace? Možná už tuto chybu odstranili. Aktuální verze RouterOS je 6.30.

Tady jsou nějaké nástiny řešení, jak to kdosi zprovoznil v 6.18: http://forum.mikrotik.com/viewtopic.php?t=88033 (Můj Mikrotik běží na routerOS 6.12, kde se tato chyba nevyskytuje, tedy s jejím řešením nemám žádné zkušenosti.)

Ty zdrojové a cílové adresy, které jsi z výpisu odstranil, jsou OK? Právě zde by byl poznat problém bugu dvou IP-adres na WAN, že se odpovídá na špatnou adresu.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod unbsystem 14. 7. 2015 21:42

Po aktualizaci na 6.30 jsem vyzkoušel, a zmizela chybová zpráva phase1 negot... a zůstává pouze failed pre-process ph2 packet.

Takže ztratil jsem chuť bojovat, ale všechny konfigurace jsem smazal o L2TP.
Potřebuji pak od Váš postup k vytvoření L2TP/IPSec.

Stačí postupně krok krokem nebo klidně sem napsat příkaz do terminálu a postupně, abych zkontroloval vše pro celou funkčnost L2TP IPSec.

-- 14. 7. 2015 22:05 --

Myslím jako zprovoznit L2TP serveru.
unbsystem
Junior

Odeslat příspěvekod vladimir 15. 7. 2015 07:23

Postupuj krok za krokem podle tohoto návodu, včetně nastavení IP-adres tunelu do jiného rozsahu, než má tvá síť. Teprve až to bude chodit, přizpůsobuj konfiguraci svým požadavkům a uvidíš, co funguje a co ne: https://www.youtube.com/watch?v=OBlUaZw9uNU , (jenom v peers musíš místo SHA zvolit SHA1 a group policy tam má dvě volby místo jedné).
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod unbsystem 15. 7. 2015 09:07

Zkoušel jsem dělat krok krokem postupně od youtube, cos mi dal sem odkaz.

Výsledek: 10 chybových zpráv:

failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
unbsystem
Junior

Odeslat příspěvekod vladimir 15. 7. 2015 17:54

A nic jiného? Máš v logu zapnuté všechny informace o IPSEC?
https://www.youtube.com/watch?v=BRWRzHtn9_U
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod unbsystem 15. 7. 2015 20:19

Už jsem nastavil Logging Debug L2TP, IPSec packet, takže mám logovací záznam, a mám sem hodit, a bude vadit, když tam bude vidět moje 2 veřejné IP adresy?

-- 15. 7. 2015 20:20 --

Nebo soukromou zpravu Vam mam poslat?
unbsystem
Junior

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků