<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
	<channel>
		<title>Mikrotik.moscow [тема: L2TP/IPSec — несколько профилей IPSec]</title>
		<link>http://mikrotik.moscow</link>
		<description>Новое в теме L2TP/IPSec — несколько профилей IPSec форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow]</description>
		<language>ru</language>
		<docs>http://backend.userland.com/rss2</docs>
		<pubDate>Tue, 14 Jul 2026 21:32:42 -0400</pubDate>
		<item>
			<title>L2TP/IPSec — несколько профилей IPSec</title>
			<description><![CDATA[<b><a href="http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435171">L2TP/IPSec — несколько профилей IPSec</a></b> <i>RouterOS</i> в форуме <a href="http://mikrotik.moscow/forum/forum57/">RouterOS</a>. <br />
			Чтобы проанализировать это, обфускация действительно получилась слишком агрессивной. Непонятно, как пулы связаны с подсетями (на самом деле, нет никакого смысла прятать приватные IP-адреса). Скорее всего, причина в том, что селектор трафика в ipsec-политике, которая связывает головной офис с магазином, не охватывает адреса, назначенные L2TP-клиентам, но настоящая причина может быть другой — увидим, когда ты выложишь экспорт с более подробной информацией. Я за системную замену каждого конкретного уникального номера порта (например, 12345) на уникальную строку (например, «ssh-port-number») с помощью функции поиска и замены в текстовом редакторе, но главное условие — чтобы после обфускации была понятна связь между элементами (здесь — правилами файрвола). Поэтому лучше не трогать приватные адреса и заменять только первые три (или даже два) байта публичных адресов на текстовые строки — так обфускация будет выглядеть аккуратнее. <br />
			<i>31.01.2025 21:21:00, sindy.</i>]]></description>
			<link>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435171</link>
			<guid>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435171</guid>
			<pubDate>Fri, 31 Jan 2025 21:21:00 -0500</pubDate>
			<category>RouterOS</category>
		</item>
		<item>
			<title>L2TP/IPSec — несколько профилей IPSec</title>
			<description><![CDATA[<b><a href="http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435170">L2TP/IPSec — несколько профилей IPSec</a></b> <i>RouterOS</i> в форуме <a href="http://mikrotik.moscow/forum/forum57/">RouterOS</a>. <br />
			Кто-то посоветовал мне убрать галочку с «use ipsec» в настройках L2TP-сервера или поставить там «no». Я думал, что если так сделать, то ipsec для удалённого доступа по L2TP полностью отключится, но мне сказали, что если вручную добавить peer и identity, то ipsec не выключится. Сейчас у меня другая проблема, может, помогли бы, если не сложно. С удалённых ПК я могу пинговать любое устройство в головном офисе, но не могу пинговать устройства в store1, хотя с любых устройств в головном офисе до store1 пинг проходит. Значит, что-то не так с маршрутами или правилами файрвола, можно ли это как-то решить? Основная задача удалённых ПК — доступ к серверу и другим ПК в магазинах для устранения неполадок, если что-то случится. <br />
			<i>31.01.2025 20:54:00, zezeme.</i>]]></description>
			<link>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435170</link>
			<guid>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435170</guid>
			<pubDate>Fri, 31 Jan 2025 20:54:00 -0500</pubDate>
			<category>RouterOS</category>
		</item>
		<item>
			<title>L2TP/IPSec — несколько профилей IPSec</title>
			<description><![CDATA[<b><a href="http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435169">L2TP/IPSec — несколько профилей IPSec</a></b> <i>RouterOS</i> в форуме <a href="http://mikrotik.moscow/forum/forum57/">RouterOS</a>. <br />
			Что касается публикации — считается полезным размещать код между тегами 
====code====
<pre> и </pre>
=============
, которые можно получить, нажав кнопку [&lt;/&gt;] над формой редактирования. Обфускация не скрыла никаких внутренних связей, так как конфигурация довольно простая. Как я и подозревал, ваш пир IKEv2 с именем store1 использует элемент /ip ipsec profile с именем default, то есть тот же, который стек L2TP применяет для динамического создания пира по запросу. Помимо этого, вы действительно просите L2TP создать пира динамически, но при этом у вас есть статический пир IKE(v1) с именем l2tp-in-server. Он ссылается на другой элемент /ip ipsec profile, не тот, что default, но в каждый момент времени входящие соединения используют только одного пира IKE(v1); не могу сказать, кто именно «выигрывает», но команда /ip ipsec peer print ответит на этот вопрос, поскольку RouterOS выдает предупреждение, если один пир перекрывается другим. <br />
			<i>31.01.2025 20:45:00, sindy.</i>]]></description>
			<link>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435169</link>
			<guid>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435169</guid>
			<pubDate>Fri, 31 Jan 2025 20:45:00 -0500</pubDate>
			<category>RouterOS</category>
		</item>
		<item>
			<title>L2TP/IPSec — несколько профилей IPSec</title>
			<description><![CDATA[<b><a href="http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435168">L2TP/IPSec — несколько профилей IPSec</a></b> <i>RouterOS</i> в форуме <a href="http://mikrotik.moscow/forum/forum57/">RouterOS</a>. <br />
			Вот, пожалуйста, дай знать, если я замаскировал что-то, чего не следовало.<br /><br />31 января 2025, xx:xx:xx, RouterOS 6.49.8 &nbsp;<br />software id = ### #- #### &nbsp;<br />model = RB750Gr3 &nbsp;<br />serial number = &nbsp;<br /><br />/interface bridge add name=lan-office &nbsp;<br />/interface ethernet set [find default-name=ether1] name=ether1-wan  <br />set [find default-name=ether2] name=ether2-PC1  <br />set [find default-name=ether3] name=ether3-SERVER  <br />set [find default-name=ether4] name=ether4-POS  <br />set [find default-name=ether5] name=ether5-AP  <br /><br />/interface wireless security-profiles set [find default=yes] supplicant-identity=MikroTik  <br /><br />/ip ipsec peer add address=PUBLIC-IP exchange-mode=ike2 name=store1 &nbsp;<br />/ip ipsec profile set [find default=yes] dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha512 name=ipsec1  <br />add dh-group=modp2048 enc-algorithm=aes-256 name=remote &nbsp;<br />/ip ipsec peer add name=l2tp-in-server passive=yes profile=remote &nbsp;<br />/ip ipsec proposal set [find default=yes] disabled=yes  <br />add enc-algorithms=aes-128-cbc lifetime=1d name=proposal1-IPSEC pfs-group=none &nbsp;<br />add auth-algorithms=sha512,sha256,sha1 name=proposal-remote pfs-group=none &nbsp;<br /><br />/ip pool add comment="lan-pool" name=pool1_local ranges=xx.xx.xx.50-xx.xx.xx.100 &nbsp;<br />add comment="remote-pool" name=pool2-remote_access ranges=XX.XX.XX.100-xx.XX.xx.150 &nbsp;<br />add comment="WIFI-pool" name="pool3-guests-WIFI" ranges=xxx.xxx.x.101-xxx.xxx.x.150 &nbsp;<br /><br />/ip dhcp-server add address-pool=pool1_local disabled=no interface=lan-office lease-time=1h name=dhcp_bridge &nbsp;<br /><br />/ppp profile add dns-server=1.1.1.1,8.8.8.8 local-address=xxx.xxx.x.1 name="remote-profile" remote-address=pool2-remote_access &nbsp;<br /><br />/interface bridge port add bridge=lan-office interface=ether2-PC1 &nbsp;<br />add bridge=lan-office interface=ether3-SERVER &nbsp;<br />add bridge=lan-office interface=ether4-POS &nbsp;<br />add bridge=lan-office interface=ether5-AP &nbsp;<br /><br />/interface l2tp-server server set authentication=mschap2 default-profile="remote-profile" enabled=yes ipsec-secret=xxxxxxxxx use-ipsec=yes &nbsp;<br /><br />/ip address add address=publicIP-headoffice/24 comment="wan modem" interface=ether1-wan network=publicIP-gateway &nbsp;<br />add address=IP-localred-headoffice/24 comment=bridge interface=lan-office network=xxx.xxx.x.0 &nbsp;<br />add address=xxx.xxx.X.2 comment="for PC1 ether2" interface=ether2-PC1 network=xxx.xxx.x.0 &nbsp;<br />add address=xxx.xxx.x.3 comment="server ether3" interface=ether3-SERVER network=XXX.xxx.x.0 &nbsp;<br />add address=xxx.xxx.x.4 comment="POS ether4" interface=ether4-POS network=xxx.xxx.x.0 &nbsp;<br />add address=xxx.xxx.x.5 comment="AP TP LINK ether5" interface=ether5-AP network=xxx.xxx.x.0 &nbsp;<br /><br />/ip dhcp-server network add address=xxx.xxx.x.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=xxx.xxx.x.1 &nbsp;<br /><br />/ip dns set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8 &nbsp;<br />/ip dns static add address=xxx.xxx.x.97 name=SERVIDOR &nbsp;<br /><br />/ip firewall address-list add address=194.50.16.198 list=blocked_ips &nbsp;<br />add address=194.50.16.1 list=blocked_ips &nbsp;<br />add address=103.102.230.5 list=blocked_ips &nbsp;<br />add address=185.147.124.54 list=blocked_ips &nbsp;<br />add address=xxx.xxx.x.100 list=ssh-allowed &nbsp;<br />add address=xxx.xxx.x.100 list=api-allowed &nbsp;<br />add address=xxx.xxx.x.1 list=api-allowed &nbsp;<br />add address=xxx.xxx.x.3 list=api-allowed &nbsp;<br />add address=xxx.xxx.x.1 list=ssh-allowed &nbsp;<br />add address=xxx.xxx.x.3 list=ssh-allowed &nbsp;<br /><br />/ip firewall filter add action=drop chain=input src-address=194.50.16.198 &nbsp;<br />add action=drop chain=input src-address=194.50.16.1 &nbsp;<br />add action=drop chain=input src-address=103.102.230.5 &nbsp;<br />add action=drop chain=input src-address=185.147.124.54 &nbsp;<br />add action=accept chain=input dst-port=x protocol=tcp src-address=xxx.xxx.x.100 &nbsp;<br />add action=accept chain=input dst-port=x protocol=tcp src-address-list=ssh-allowed &nbsp;<br />add action=accept chain=input dst-port=xx protocol=tcp src-address-list=api-allowed &nbsp;<br />add action=drop chain=input dst-port=xx protocol=tcp &nbsp;<br />add action=drop chain=input dst-port=x protocol=tcp &nbsp;<br /><br />/ip firewall nat add action=accept chain=srcnat dst-address-list=xxx.xxx.x.0/24 (local headoffice src-address-list=xxx.xxx.x.0/24 (local headoffice) &nbsp;<br />add action=accept chain=srcnat dst-address=xxx.xxx.xx.0/24 (local store1) out-interface=ether1-wan src-address=xxx.xxx.x.0/24 (local headoffice) &nbsp;<br />add action=masquerade chain=srcnat out-interface=ether1-wan &nbsp;<br /><br />/ip ipsec identity add peer=store1 secret=xxxxx &nbsp;<br />add generate-policy=port-strict peer=l2tp-in-server remote-id=ignore secret=xxx &nbsp;<br /><br />/ip ipsec policy set 0 comment="don’t delete, policy for l2tp" proposal="proposal remote" &nbsp;<br />add dst-address=xxx.xxx.xx.0/24 (local store1) peer=store1 proposal=proposal1-IPSEC src-address=Xxx.xxx.x.0/24 (local headoffice) tunnel=yes &nbsp;<br /><br />/ip route add distance=1 gateway=public gateway headoffice &nbsp;<br />add distance=1 dst-address=xxx.xxx.xx.0/24 (local store1) gateway=lan-office &nbsp;<br /><br />/ip service set telnet disabled=yes &nbsp;<br /><br />/ppp secret add name=user1 password=xxxx profile="remote-profile" service=l2tp &nbsp;<br />add name=user2 password=xxx profile="remote-profile" service=l2tp &nbsp;<br />add name=user3 password=xxx profile="remote-profile" service=l2tp &nbsp;<br /><br />/system clock set time-zone-name=xxx <br />
			<i>31.01.2025 19:38:00, zezeme.</i>]]></description>
			<link>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435168</link>
			<guid>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435168</guid>
			<pubDate>Fri, 31 Jan 2025 19:38:00 -0500</pubDate>
			<category>RouterOS</category>
		</item>
		<item>
			<title>L2TP/IPSec — несколько профилей IPSec</title>
			<description><![CDATA[<b><a href="http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435167">L2TP/IPSec — несколько профилей IPSec</a></b> <i>RouterOS</i> в форуме <a href="http://mikrotik.moscow/forum/forum57/">RouterOS</a>. <br />
			Вы можете выложить текстовый экспорт вашей текущей конфигурации. На форуме есть множество описаний, которые объясняют, как его создать и правильно замаскировать перед тем, как публиковать, чтобы сохранить внутреннюю целостность информации. Но, возможно, это и не понадобится, если достаточно будет следующего: L2TP действительно использует строку /ip ipsec profile с именем default и шаблон политики /ip ipsec policy, принадлежащий группе default, если вы указываете системе создавать peer, identity и политики динамически, и это действительно нельзя изменить, но вы можете создать свой собственный профиль и шаблон политики для настройки IKEv2. Более того, вы можете создать несколько идентификаторов для IKEv2 для одного и того же peer, если сможете указать initiator ID и связать их с разными группами шаблонов политики. Мне, например, пришлось так сделать, чтобы адаптировать поведение под клиентов IKEv2 на Windows и iOS. <br />
			<i>31.01.2025 19:14:00, sindy.</i>]]></description>
			<link>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435167</link>
			<guid>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435167</guid>
			<pubDate>Fri, 31 Jan 2025 19:14:00 -0500</pubDate>
			<category>RouterOS</category>
		</item>
		<item>
			<title>L2TP/IPSec — несколько профилей IPSec</title>
			<description><![CDATA[<b><a href="http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435166">L2TP/IPSec — несколько профилей IPSec</a></b> <i>RouterOS</i> в форуме <a href="http://mikrotik.moscow/forum/forum57/">RouterOS</a>. <br />
			Привет! Я нашёл этот форум, потому что у меня похожая проблема. Хотелось бы узнать, может кто-то сможет помочь. Я создал IPSec туннель между головным офисом и несколькими другими локациями, используя IKEv2 и профиль с SHA512, AES-256 и MODP-2048. Также я настроил L2TP/IPSec для тех, кто работает удалённо. Проблема в том, что, как вы уже говорили, динамически создаётся пир и идентификатор, которые используют профиль IPSec туннеля, описанный выше, и не выбирают профиль, который я создал специально для L2TP удалённого доступа. Из-за этого удалённый доступ ломается, если используется SHA512 — он работает только с SHA1. Поэтому я создал отдельный профиль только для L2TP сервера. Но мне приходится удалять динамически созданные, а при каждом перезагрузке Mikrotik создаёт новый, который снова выбирает первый профиль, и L2TP доступ снова не работает. Что мне делать? <br />
			<i>31.01.2025 18:30:00, zezeme.</i>]]></description>
			<link>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435166</link>
			<guid>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435166</guid>
			<pubDate>Fri, 31 Jan 2025 18:30:00 -0500</pubDate>
			<category>RouterOS</category>
		</item>
		<item>
			<title>L2TP/IPSec — несколько профилей IPSec</title>
			<description><![CDATA[<b><a href="http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435165">L2TP/IPSec — несколько профилей IPSec</a></b> <i>RouterOS</i> в форуме <a href="http://mikrotik.moscow/forum/forum57/">RouterOS</a>. <br />
			Здравствуйте, наткнулся на вопрос и не смог найти ответ на форуме: есть ли способ использовать несколько IPSec профилей для разных L2TP секретов? Как вы бы это реализовали? Всем спасибо. <br />
			<i>25.03.2022 20:20:00, ndonzis.</i>]]></description>
			<link>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435165</link>
			<guid>http://mikrotik.moscow/forum/forum57/89258-l2tp_ipsec-_-neskolko-profiley-ipsec/message435165</guid>
			<pubDate>Fri, 25 Mar 2022 20:20:00 -0400</pubDate>
			<category>RouterOS</category>
		</item>
	</channel>
</rss>
