L2tp/IPsec VPN vytvoříme ve Windows pomocí powershell a to příkazem
Add-VpnConnection -Name "<NAZEV PRIPOJENI>" -ServerAddress "<IP adresa>" -TunnelType "L2tp" -AuthenticationMethod MSChapv2 -EncryptionLevel "Required" -L2tpPsk "<PRE-SHARED-KEY>" -RememberCredential -PassThru
Po aktualizaci Windows nejde se připojit do VPN. Řešením je odinstalovat aktualizace ve Win10 KB5009543 a ve Win11 KB5009566.
Při pokusu o připojení se zobrazí chyba:
The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.
Odinstalaci aktualizací provedete v Start>Nastavení>Aktualizace a zabezpečení>Windows update>Zobrazit historii aktualizací>Odinstalovat aktualizace. Nebo přes CMD s oprávněním správce: Win10: wusa /uninstall /kb:5009543 Win11: wusa /uninstall /kb:5009566
Tyto aktualizace se automaticky nenainstalují přes Windows update, protože jsou ve volitelných aktualizacích. Takže jejich instalaci je nutné ručně potvrdit. To provedete: Start>Nastavení>Aktualizace a zabezpečení>Windows update>vyhledat aktualizace V sekci volitelné aktualizace vybrat Kumulativní aktualizaci a potvrdit instalaci.
Aktualizace které jsou dostupné přes Windows update jako volitelné aktualizace:
Aktualizace které je nutné stáhnout ručně Microsoft Update Catalog, případně pokud se Vám aktualizace nezobrazí ve volitelných aktualizacích:
Více informací na:
https://support.microsoft.com/cs-cz/topic/11-ledna-2022-kb5009543-buildy-opera%C4%8Dn%C3%ADho-syst%C3%A9mu-19042-1466-19043-1466-a-19044-1466-b763552f-73bd-435a-b220-fc3e0bc9765b
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fixes-for-windows-server-vpn-bugs/
https://www.bleepingcomputer.com/news/microsoft/new-windows-kb5009543-kb5009566-updates-break-l2tp-vpn-connections/
https://borncity.com/win/2022/01/12/windows-vpn-verbindungen-l2tp-over-ipsec-nach-januar-2022-update-kaputt/
V případě, že potřebujeme upřednostnit provoz na síťové kartě před ostatními lze k tomu využít parametr metrika síťové karty. Čím nižší hodnota metriky je, tím má vyšší prioritu.
Spustíme powershel (powershell.exe) s oprávněním správce a do příkazového řádku zadáme:
//vypíšeme seznam síťových karet Get-NetIPInterface //na rozhraní s interfaceindex 21 nastavíme metriku 10 Set-NetIPInterface -InterfaceIndex 21 -InterfaceMetric 10 //výchozí nastavení Set-NetIPInterface -InterfaceIndex 21 -AutomaticMetric enabled
V příkazu Set-NetIPInterface se ujistěte, že jste změnili hodnotu -InterfaceIndex tak, aby byl vybraný správný síťový adaptér, kterému chcete určit prioritu. Hodnotu -InterfaceMetric změňte tak, aby byla adaptéru přiřazena požadovaná priorita. Nezapomeňte, že nižší číslo metriky znamená vyšší prioritu a vyšší číslo metriky značí nižší prioritu.
Změnu můžeme udělat i v nastavení síťového adaptéru ve windows. Klikneme na:
Start>Nastavení (ozubené kolečko)>síť a internet>Změnit možnosti adaptérů>klikneme pravým tlačítkem na myši na požadovaný adaptér>vlastnosti>Protokol IP verze 4 nebo 6>Upřesnit>a dole nastavíme metriku.
změna metriky síťového adaptéru ve windows
Z důvodu bezpečnosti byla vypnuta podpora SMB1. Pokud jste si vědomi rizika a přesto potřebujete povolit SMB1 tak to provedeme pomocí aplikace powershell spuštěné s oprávněním správce.
//stav služby smb1 Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol //povolení služby smb1 Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol //zakázání služby smb1 Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
//stav služby smb2 Get-SmbServerConfiguration | Select EnableSMB2Protocol //povolení služby smb2 Set-SmbServerConfiguration -EnableSMB2Protocol $true //zakázání služby smb2 Set-SmbServerConfiguration -EnableSMB2Protocol $false
//stav Get-SmbServerConfiguration | Select EnableSMB1Protocol //povolení Set-SmbServerConfiguration -EnableSMB1Protocol $false /zakázání Set-SmbServerConfiguration -EnableSMB1Protocol $false
//stav Get-SmbServerConfiguration | Select EnableSMB2Protocol //povolení Set-SmbServerConfiguration -EnableSMB2Protocol $true //zakázání Set-SmbServerConfiguration -EnableSMB2Protocol $false
//stav
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
//povolení
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
//zakázání
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
//stav
Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
//povolení
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
//zakázání
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3
https://support.microsoft.com/cs-cz/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server
Pokud provozujete VPN server, který je umístění až za NATem, tak se můžete mít problémy s připojením k síti. Při pokusu k připojení se zobrazí chyba: „The network connection between your computer and the VPN server could not be established because the remote server is not responding…“. Je to upůsobeno tím, že ve výchozím nastavení neumožňují přidružení zabezpečených síťových adres k serverům umístěným za NAT.
Chyba připojení k VPN server
Pokud musí být server VPN za zařízení NAT a používáte protokoly IPsec NAT-T, tak můžete povolit komunikaci změnou hodnot v registrech. Řešením je přidání proměnné AssumeUDPEncapsulationContextOnSendRule do registru. To provedeme následovně:
//spustíme s oprávněním správce regedit.exe //přejdeme do klíče HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent //zde vytvoříme proměnnou DWORD (32 bit) s názvem AssumeUDPEncapsulationContextOnSendRule //hodnotu nastavíme hexidecimálně na 2 //restartujeme PC
Zakážeme DHCP klienta v IP>DHCP client>ether1-gateway. Pokud by jsme to neudělali a v síti by běžel DHCP server, tak se bude mikrotik snažit načíst adresu z DHCP serveru.
Pro rozhraní ether1-gateway přidáme pevnou IP adresu v IP>Addresses>+
Hodnoty vyplníme dle údajů od poskytovatele připojení.
Dále nastavíme výchozí bránu IP>Routes>+
Dst. Address 0.0.0.0/0
Gateway 188.246.98.97
Dále nastavíme DNS v IP>DNS a zde nastavíme hodnoty dle poskytovatele. Případně můžeme přidat free DNS servery od společnosti Google 8.8.8.8 a 8.8.4.4.
Statické nastavení DNS IP>DNS>Static>Settings pro přidání svých zařízení pro překlad adres.
V našem příkladu budeme chtít, aby nám DHCP server běžel na adrese 192.168.2.1. To provedeme následovně.
změníme rozsah přiřazovaných adres DHCP serverem v IP>POOL>POOLS
proměnou default-dhcp nastavíme na 192.168.2.200-192.168.2.229
změníme adresu DHCP serveru IP>DHCP server>Networks
proměnou Adress na 192.168.2.0/24
Gateway 192.168.2.1
DNS server 192.168.2.1
teď můžeme změnit adresu rozhraní ether2-master-local na 192.168.2.1
to provedeme v IP>Addresses
Address 192.168.2.1/24
Network 192.168.2.0
Pokud máme vytvořený bridge (např. LAN+WiFi) a chceme na všech rozhraních použít stejný DHCP server, tak musíme nastavit proměnnou interface v IP>DHCP server>DHCP><název DHCP serveru> na bridge.
Nastavení DHCP serveru na rozhraní bridge
|
Prefix |
První adresa |
Poslední adresa |
Počet adres |
|
10.0.0.0/8 |
10.0.0.0 |
10.255.255.255 |
16,777,216 |
|
172.16.0.0/12 |
172.16.0.0 |
172.31.255.255 |
1,048,576 |
|
192.168.0.0/16 |
192.168.0.0 |
192.168.255.255 |
65,536 |
Základní nastavení je přednastavené již od výrobce (RB750). LAN DHCP server běží na adrese 192.168.88.1. Pokud by vymažete defaultní nastavení a konfigurujete mikrotika ručně, tak nového DHCP klienta na WANu vytvoříme v sekci IP>DHCP client>+. Poté nastavíme interface na kterém DHCP klient poběží.
WAN jako DHCP client
IP>DNS>
Hodnoty vyplníme dle poskytovatele. Případně můžeme přidat free DNS server od google s adresou 8.8.8.8 a 8.8.4.4.
IP>DNS>Static> nastaveni lokálních hostname
Povolit přenesení DNS od poskytovatele pomocí volby Allow Remote Requests.
přenesení DNS od poskytovatele
SYSTEM>SNTP Client
Zašktrknout „enabled“, přepnout mód na „unicast“ a nastavit servery na:
64.236.96.53
ntp.nic.cz (217.31.202.100), time-nw.nist.gov (131.107.13.100), ntp.amnic.net (195.43.74.123)
SYSTEM>Clock
a nastavit „Time zone“ na „Europe/Prague“
/system clock set time-zone-name=Europe/Prague /system ntp client set enabled=yes primary-ntp=217.31.202.100 secondary-ntp=131.107.13.100
