Stránka 1 z 2

Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 11. 7. 2015 00:09
od unbsystem
Kdo měl takový problém s chybou 789 při pořízení L2TP Serveru na Mikrotik?
Já jsem všechno nastavil podle tutoriálu či video na youtube, hromada vysvětlení jsem udělal vše možné.

Pouze problém je, že nelze připojit pomocí protokolu L2TP/IPSec, ale PPTP funguje bez problému. Jen chci abych měl L2TP. Chyba mi přijde napořád s číslem 789.

Chyba: 789 "The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer".

Vyzkoušel jsem připojit k L2TP VPN z Windows 8.1 a z MacOSX, oba nejdou připojit.

Díky za případnou pomoc.

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 11. 7. 2015 11:04
od vladimir
Toto je zcela obecná, nic moc neříkající chyba. Objeví se vždy, když spojení nebylo navázáno, například, když nastavení firewallu neumožní průchod portů UDP 500, 1701 a 4500 do Mikrotika.
Ale taky se objeví, když uděláš jakoukoliv chybu v nastavení, třeba si ve Windows popleteš heslo a předsdílený klíč - v tutoriálech všude píšou test a pak z toho vzniká zmatek.
Taky stačí, když zapomeneš v ipsec Peer nastavit Generate policy (u starých routerOS tam je jenom možnost aktivovat, u nových jsou tam dvě volby port override a port strict, musíš dát pozor, aby bylo něco nastaveno. )
V nových RouterOS taky jsou v ipsec / peer Hash algoritmy SHA1, SHA256 a SHA512, musíš nastavit SHA1. Ve starých byla jenom volba SHA.

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 11. 7. 2015 17:29
od unbsystem
Vladimire, diky za odpoved, je od Vas moc mile :-) takze na firewallu jsem dobre nastavil, aby se povolil input port UDP 500, 1701 a 4500. Jasne mam logiku, ze nastavil jsem predsdileny klic a vse to mam v poradku, dle tutorialu jsem neopsal, a vim co mam delat jako krok krokem.

Az na ten General Policy me zajima jak mam spravne nastavit? Port Strict nebo Port Override? U peer jasne hash algoritm mam SHA1, 3DES.

Diky, a vse mozne jsem vyzkousel, a problem to porad objevi s 789.

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 11. 7. 2015 18:28
od vladimir
Port strict nebo port overide: mně to funguje s oběma, jakmile tam není nic, objeví se mi chyba 789

-- 11. 7. 2015 18:37 --

Nemáš na WAN portu z nějakého důvodu nastavené dvě IPadresy? Co vidím na internetu, je známý bug, který se projevuje při dvou IP-adresách na WAN portu a způsobuje nefunkčnost L2TP/IPSEC.

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 11. 7. 2015 21:05
od unbsystem
Používám Comtrend z O2 a pracuje jako bridge mode, a pak z Comtrend vede kabel do mikrotiku, z mikrotiku vede druhy kabel do switche.

Nebo jak máte na mysli dvě IP adresy? Mohl byste mi prosím více popsat problému, cos našel bug na internetu.

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 12. 7. 2015 08:27
od vladimir
Jeden port Mikrotika může mít nakonfigurováno i více IP-adres. V address listu bys viděl dvě adresy pro rozhraní, které funguje jako WAN.
Například v tvém případě bys na WAN portu mohl mít veřejnou IP-adresu od O2 (bez veřejné by taky byla chyba 789 :), ale když ti funguje PPTP, veřejnou IP máš ) a současně třeba 10.0.0.1, abys mohl pohodlně vstupovat do webové administrace toho modemu, který má 10.0.0.128.

Jenom mě ještě napadá, kdybys měl IPV4 a IPV6 adresy, to by taky byly dvě adresy na jednom portu a bug by se taky teoreticky mohl projevit. (včera jsem na popis toho bugu narazil, ale teď to nemůžu najít. Ale o ipv6 tam nebylo ani slovo. Bylo tam psáno, že Mikrotik obdrží pakety z veřejné IP-adresy, ale odpověď pošle přes první adresu daného portu a když to není ta veřejná adresa... Bylo tam psáno, že je ta chyba reprodukovatelná od RouterOS verze 5 až do minimálně 6.14).

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 12. 7. 2015 21:22
od unbsystem
Ptám se, kde bych našel nějaký log, který zjistí chybu, aby pak mi někdo mohl pomoct s tím vyřešením problému.

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 13. 7. 2015 19:15
od vladimir
1. vytvářel jsi pravidlo pro průchod firewallem pro UDP 500, 1701 a 4500. V počítadle pravidla se ti tedy musí objevit pakety. To je první kontrola.

2. V hlavním systémovém logu nic nevidíš? Pokud ne, tak L2TP pakety vůbec nedojdou, nebo nejsou rozpoznány.

U mne log vypadá takto:

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 14. 7. 2015 00:55
od unbsystem
1. pravidlo pro průchod firewallem pro UDP 500, 1701 a 4500 mám již nastavené, posílám screenshot, ano objeví se data paketů. První kontrola je OK. Je normální, že pakety projdou pouze na 500 a 4500. u 1701 je pořád s číslem 0.

ACCEPT.png
ACCEPT.png (9.52 ) Zobrazeno 8010 krát


2. Log zobrazuje chyby, posílám screenshot.

CHYBA.jpg

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 14. 7. 2015 16:22
od vladimir
Port 1701 se používá až v pozdější fázi spojení.

Zadáním tvé chyby do Googlu mi vychází, že je to chyba svázaná s určitými verzemi routerOS (konkrétně 6.18, možná i některých dalších verzí). Máš nahrané všechny dostupné aktualizace? Možná už tuto chybu odstranili. Aktuální verze RouterOS je 6.30.

Tady jsou nějaké nástiny řešení, jak to kdosi zprovoznil v 6.18: http://forum.mikrotik.com/viewtopic.php?t=88033 (Můj Mikrotik běží na routerOS 6.12, kde se tato chyba nevyskytuje, tedy s jejím řešením nemám žádné zkušenosti.)

Ty zdrojové a cílové adresy, které jsi z výpisu odstranil, jsou OK? Právě zde by byl poznat problém bugu dvou IP-adres na WAN, že se odpovídá na špatnou adresu.

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 14. 7. 2015 21:42
od unbsystem
Po aktualizaci na 6.30 jsem vyzkoušel, a zmizela chybová zpráva phase1 negot... a zůstává pouze failed pre-process ph2 packet.

Takže ztratil jsem chuť bojovat, ale všechny konfigurace jsem smazal o L2TP.
Potřebuji pak od Váš postup k vytvoření L2TP/IPSec.

Stačí postupně krok krokem nebo klidně sem napsat příkaz do terminálu a postupně, abych zkontroloval vše pro celou funkčnost L2TP IPSec.

-- 14. 7. 2015 22:05 --

Myslím jako zprovoznit L2TP serveru.

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 15. 7. 2015 07:23
od vladimir
Postupuj krok za krokem podle tohoto návodu, včetně nastavení IP-adres tunelu do jiného rozsahu, než má tvá síť. Teprve až to bude chodit, přizpůsobuj konfiguraci svým požadavkům a uvidíš, co funguje a co ne: https://www.youtube.com/watch?v=OBlUaZw9uNU , (jenom v peers musíš místo SHA zvolit SHA1 a group policy tam má dvě volby místo jedné).

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 15. 7. 2015 09:07
od unbsystem
Zkoušel jsem dělat krok krokem postupně od youtube, cos mi dal sem odkaz.

Výsledek: 10 chybových zpráv:

failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet
failed to pre-process ph2 packet

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 15. 7. 2015 17:54
od vladimir
A nic jiného? Máš v logu zapnuté všechny informace o IPSEC?
https://www.youtube.com/watch?v=BRWRzHtn9_U

Re: Mikrotik - L2TP Server s chybou 789.

Odeslat příspěvekNapsal: 15. 7. 2015 20:19
od unbsystem
Už jsem nastavil Logging Debug L2TP, IPSec packet, takže mám logovací záznam, a mám sem hodit, a bude vadit, když tam bude vidět moje 2 veřejné IP adresy?

-- 15. 7. 2015 20:20 --

Nebo soukromou zpravu Vam mam poslat?