Настроил VPN на микротике (ipsec/l2tp), мобильный телефон прекрасно подключается, а вот Windows 7 — нет. Пишет ошибку 789. Если в реестре прописать параметр ProhibitIpSec=1, то работает. Но есть «но»:
На фото приведены две сессии, первая — с Windows, вторая — с мобильника. Разница очевидна, несмотря на то, что:
шифрование (обязательно, отключиться. если нет шифрования).
Т.е. шифрование в первом случае должно быть, но я его не наблюдаю. Не уверен, что это проблема микротика. Но могут быть какие-то подводные камни. Можете подсказать, куда копать?
Hello, I`m new in mikrotik configuration. I try to configure a L2tp VPN, when try to connect say error 789 and can´t connect.
I configured a PPT VPN and work fine, then I think that the firewall rules may be ok.
My configuration is:
# aug/27/2018 18:35:03 by RouterOS 6.42.7
# software id = 0ZG4-YIUP
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 6CBA06D4E0F8
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-Wan
set [ find default-name=ether2 ] arp=proxy-arp name=ether2-Lan
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=0s
pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
add name=vpn_pool ranges=172.16.0.1-172.168.0.20
add name=vpn_pool_l2tp ranges=10.10.0.1-10.10.0.20
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2-Lan lease-time=3d
name=dhcp1
/ppp profile
add dns-server=8.8.8.8 local-address=vpn_pool name=Vpn_Profile_PPTP
remote-address=vpn_pool use-encryption=yes
add dns-server=8.8.8.8 local-address=vpn_pool name=L2TP remote-address=vpn_pool
use-encryption=required
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=L2TP enabled=yes
ipsec-secret=testing use-ipsec=required
/interface pptp-server server
set authentication=chap,mschap1,mschap2 default-profile=Vpn_Profile_PPTP
enabled=yes
/ip address
add address=192.168.1.1/24 interface=ether2-Lan network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=ether1-Wan use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=
190.160.0.15,200.30.192.14,200.83.1.5,8.8.8.8,8.8.4.4 gateway=192.168.1.1
/ip firewall filter
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input dst-port=500 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input disabled=yes dst-port=1701 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp2048 enc-algorithm=aes-256,aes-128,3des
exchange-mode=main-l2tp generate-policy=port-override local-address=
192.168.1.1 secret=test1
/ppp secret
add name=user2 password=test profile=Vpn_Profile_PPTP service=pptp
add name=user1 password=test1 profile=L2TP service=l2tp
/system clock
set time-zone-name=America/Santiago
/system routerboard settings
set silent-boot=no
/tool traffic-monitor
add interface=ether2-Lan name=tmon1 threshold=0
Can you help me to know what is the problem please?
Thanks
Marco.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
ivldenis
- Сообщения: 33
- Зарегистрирован: 11 янв 2018, 21:45
Поднял VPN IPSec/L2TP. На windows 10 к серверу подключаются без проблем. А вот на windows 7 при подключении выскакивает ошибка 789. Может кто сталкивался?
-
ivldenis
- Сообщения: 33
- Зарегистрирован: 11 янв 2018, 21:45
20 июн 2018, 15:01
Сегодня началась проблема у других компьютеров под win 10. Авторизация проходит но сразу после нее пишет не удалось подключится . В журнале фиксируется ошибка 720. Через некоторое время подключится всетаки удалось. Микротик при ошибке подключения фиксировал следующее событие:
First L2TP UDP packet recevied from 84.47….. (ip с которого идет подключение)
USER(имя пользователя VPN) logged in, 192.168.3.48
l2tp USER-3 authentificated
l2tp USER-3 using encoding — MPPE128 stateless
l2tp USER-3 terminating….
l2tp USER-3 out, 0 148 108 9 9
l2tp USER-3 disconnected
В чем может быть дело?
-
ivldenis
- Сообщения: 33
- Зарегистрирован: 11 янв 2018, 21:45
27 июн 2018, 15:25
В общем не при каких обстоятельствах не возможно подключиться к поднятому vpn L2TP/IPSec не через win 7, win 8, и win 8.1. Возможно работа только на win 10. Так же не возможно подключить андроид. Мак буки и Айфоны еще не пробовал. Сыроват микротик видимо . На циске вообще проблем не знаю. Ну только что впн клиент ставится на вин 10 через грабли.
-
kowalsky
- Сообщения: 16
- Зарегистрирован: 24 июл 2016, 11:29
- Откуда: Москва
27 июн 2018, 18:51
Не знай что там у Вас. Работает на win7,8,10, андройд, и собственно мак которые любят начальники.
Единственное если устройства клиенты выходят с одного внешнего ip адреса то подключиться получиться только у одного. (Хотя может быть это исправили уже).
-
ivldenis
- Сообщения: 33
- Зарегистрирован: 11 янв 2018, 21:45
28 июн 2018, 15:19
Не взгляните…..Эта настройка рабочая?
https://bozza.ru/art-248.html
Не могу понять что может быть не так. Там вроде как и ошибиться негде. Ну если конфиг этот рабочий…
Сеичас все заново перенастроил. Win 10 ок. С андроида пытаюсь подключится и …
85.57.*.* failed to pre-process ph2 packet
85.57.*.* peer sent packet for dead phase2
-
kowalsky
- Сообщения: 16
- Зарегистрирован: 24 июл 2016, 11:29
- Откуда: Москва
28 июн 2018, 18:51
В данной статье описана эта ошибка создание новой группы IPsec->Groups.
Я не создавал новую группу и все работает.
Если все же создавать новую группу то ее нужно не забыть добавить в раздел Policies и раздел Peers. Иначе по умолчанию работает default.
-
ivldenis
- Сообщения: 33
- Зарегистрирован: 11 янв 2018, 21:45
28 июн 2018, 19:30
Я создавал и она у меня там сеичас одна.
Еще такой вопрос. На windows 10 замечен такой эффект после подключения к VPN. У пользователя, после отключения VPN перестает работать интернет. Точнее отключает vpn все ок. Но потом через некоторое время полностью пропадает инет. Отключение физического интерфейса и включение его ни к чему не приводит. Не хочу лишний раз наговаривать ), но замечено на двух ПК.
I need some help with our VPN solution, if you would be so kind 
The full error message is
Remote Access error 789 — The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer
This only happens on one single users PC, and only when he is on his home network. No other clients is having issues.
I’ve tried to change the network profile from Public to Private. Did not help. I’ve also tried to change it to Domain network, and that didn’t help either.
We’ve got Symantec Antivirus on all machines, but again, there hasn’t been any troubles like this on ANY other client.
The firewall SEEMS to be turned off when on Private and Domain network, but not on Public. But this is controlled by the antivirus.
I haven’t got immediate access to his router, and would prefer if this could be leaved «untouched»
The connection is a L2TP/IPsec, requires encryption, with a Pre-shared key.
The clients use a batch, which is using rasdial to connect.
The server itself, is a Meraki firewall.
Please, ask any questions if you have any.
Сбои в ОС Windows не редкость, возникают они по разным причинам и некоторые из них могут препятствовать доступу к сети. Так, например, при наличии подключения, использующего протокол L2TP, иногда встречается ошибка с кодом 789, появляющаяся у абонентов при попытке запуска VPN с компьютера напрямую. Пользователям не впервой самостоятельно решать подобные задачи, тем более, когда речь идёт о сбоях в программной части, с аппаратными проблемами уже сложнее и чаще всего без специалиста не обойтись. Ошибка 789 VPN сообщает о сбое, случившемся на уровне безопасности в момент согласований с удалённым устройством, но попытки решить проблему путём реализации ещё одного подключения в такой ситуации безуспешны. Чаще всего сбой возникает на Windows 7 или 8, но возможен и в других версиях операционки. Если ошибок в настройке сетевого подключения нет, и система не поражена вирусами, проблема кроется в реестре. Ошибка связана с недостатком необходимых для полноценного функционирования файлов и потребуется редактирование параметров.
Исправление ошибки 789 при подключении VPN.
Что значат эти записи в реестре
Если попытка L2TP-подключения не удалась вследствие появления сбоя с кодом 789, источник проблемы сокрыт в некорректной аутентификации на базе предварительного ключа, обеспечивающего соединение по L2TP/IPSec. Для реализации функционирования процесса требуются ключи «ProhibitIpSec» и «AllowL2TPWeakCrypto». ОС Windows стандартно не может создать соединение по L2TP в отсутствии IPSec. Так, если в реестре параметр ProhibitIpSec имеет значение 1, то на устройстве с операционкой Windows 7, 8, 10 не будет осуществляться создание фильтра, который на автомате применяет проверку подлинности ЦС, тогда будет проверяться локальный либо политики IP Security. Параметр AllowL2TPWeakCrypto применяется для активации алгоритмов шифрования MD5 (Message Digest 5 шифрует любые сведения в формате 128-битного хэширования) и DES (Data Encryption Standard – стандарт симметричного шифрования, осуществляет преобразование 64-битовых блоков данных посредством 56-битового ключа). Так, ошибка 789 при соединении с L2TP внезапно появляется при удалении ключей, обеспечивающих корректность функционирования VPN-канала. Они могут пропасть после инсталляции обновлений драйверов, приложений или удаления вирусами.
Бесполезные советы по ошибке 789
Как водится, пользователи при появлении сбоев в работе Windows, в поиске решений возникшей проблемы перечитывают всю существующую информацию из сети и достаточно часто сталкиваются с совершенно безрезультатными, а иногда абсурдными способами. Один из вариантов – ошибка 789 при подключении к L2TP спровоцирована выбором неверного типа VPN. Решение предлагается гениальное:
- Перейти к настройкам VPN соединения и во вкладке «Сеть» — «Тип VPN» выбрать «Автоматически» или «PPTP».
Но ведь у нас не стоит задача, чтобы заработало подключение L2TP, и цель не заключается в поиске альтернатив, а включение PPTP не имеет никакого отношения к настройке функционирования нужного нам канала. Ещё одно из нелепых решений – обращение к провайдеру. Хотя, звонок и может быть эффективен, ведь обычно поставщик связи всегда готов поспособствовать налаживанию соединения. В данном случае он тоже поможет справиться с задачей, организовав приход мастера.
Как исправить ошибку 789 l2tp в Windows
Мы уже выяснили, что при нормально настроенной сети и исправном функционировании Windows, где, в том числе отсутствует вирусное ПО – проблема в реестре. Редактирование его вручную без имеющихся навыков не рекомендуется, поскольку при неправильных действиях вмешательство пользователя может привести к неработоспособности компьютера и повлечь за собой непоправимые последствия для операционной системы. В любом случае перед работой с реестром лучше будет создать резервную копию. Если вы являетесь опытным юзером, то ничто не мешает самостоятельно внести необходимые изменения в записи реестра, чтобы тем самым устранить ошибку 789 и затем беспрепятственно подключиться к L2TP-соединению. Выполняем такие манипуляции:
- Открываем реестр любым удобным способом (например, нажатием клавиш Win+R вызываем консоль «Выполнить», где вводим команду regedit – метод универсален. При работе с Windows 7 и более ранними версиями ОС можно открыть реестр через Пуск, запросив в поле поиска regedit).
- Реестр имеет древовидную структуру в любой из версий ОС. Так, для устранения ошибки VPN-соединения с кодом 789 идём в ветку HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters.
- Создаём или корректируем имеющиеся параметры (в строки прописываем значение 1)
- «ProhibitIpSec»=dword:00000001
- «AllowL2TPWeakCrypto»=dword:00000001.
- Подтверждаем действие.
- После выполненных манипуляций перезагружаю устройство, что необходимо для вступления в силу изменений и подключаюсь к интернету.
Испробовав этот метод для устранения ошибки 789, многие пользователи отмечают, что на Windows 10, 8, 7 проблема больше не возникает.