No suitable proposal found mikrotik windows 10

Господа, товарищи помогите решить данную проблему. :cry_ing: Про пытающихся пробиться левых, всё понятно А когда сам пробиться не можешь, куда ткнуть ? Откуда смотреть? no suitable proposal found failed to get valid proposal failed to pre-process pph..

Должны совпадать настройки на 2х концах для 2х фаз

/system logging
add topics=ipsec,!packet

Вот что шлет андроид,

22:33:29 ipsec IKE Protocol: IKE
22:33:29 ipsec proposal #1
22:33:29 ipsec enc: aes128-cbc
22:33:29 ipsec enc: aes192-cbc
22:33:29 ipsec enc: aes256-cbc
22:33:29 ipsec enc: 3des-cbc
22:33:29 ipsec prf: hmac-sha256
22:33:29 ipsec prf: hmac-sha384
22:33:29 ipsec prf: hmac-sha512
22:33:29 ipsec prf: unknown
22:33:29 ipsec prf: hmac-sha1
22:33:29 ipsec auth: sha256
22:33:29 ipsec auth: sha384
22:33:29 ipsec auth: sha512
22:33:29 ipsec auth: sha1
22:33:29 ipsec auth: unknown
22:33:29 ipsec dh: ecp521
22:33:29 ipsec dh: ecp256
22:33:29 ipsec dh: ecp384
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: modp3072
22:33:29 ipsec dh: modp4096
22:33:29 ipsec dh: modp6144
22:33:29 ipsec dh: modp8192
22:33:29 ipsec dh: modp2048
22:33:29 ipsec proposal #2
22:33:29 ipsec enc: aes128-gcm
22:33:29 ipsec enc: aes192-gcm
22:33:29 ipsec enc: aes256-gcm
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec prf: hmac-sha256
22:33:29 ipsec prf: hmac-sha384
22:33:29 ipsec prf: hmac-sha512
22:33:29 ipsec prf: unknown
22:33:29 ipsec prf: hmac-sha1
22:33:29 ipsec dh: ecp521
22:33:29 ipsec dh: ecp256
22:33:29 ipsec dh: ecp384
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: modp3072
22:33:29 ipsec dh: modp4096
22:33:29 ipsec dh: modp6144
22:33:29 ipsec dh: modp8192
22:33:29 ipsec dh: modp2048

т.е. для него, например, могу выбрать конфиг для 1 фазы (вкладка profiles) enc: aes256-cbc auth: sha256 prf: hmac-sha256 (либо авто оставить) dh: modp2048

Для фазы 2 (вкладка Proposals) enc: aes256-cbc auth: sha256

22:33:31 ipsec IKE Protocol: ESP
22:33:31 ipsec proposal #1
22:33:31 ipsec enc: aes256-gcm
22:33:31 ipsec enc: aes128-gcm
22:33:31 ipsec enc: unknown
22:33:31 ipsec proposal #2
22:33:31 ipsec enc: aes256-cbc
22:33:31 ipsec enc: aes192-cbc
22:33:31 ipsec enc: aes128-cbc
22:33:31 ipsec auth: sha384
22:33:31 ipsec auth: sha256
22:33:31 ipsec auth: sha512
22:33:31 ipsec auth: sha1

Источник

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

1

18.04.2018, 17:10. Показов 11378. Ответов 21

Делаю настройку туннеля по инструкции
Но в самой инструкции не ясно с каким интерфейсом объединять туннель. С тем, который смотрит во внутреннюю сеть или с тем, который WAN?



0

Programming

Эксперт

94731 / 64177 / 26122

Регистрация: 12.04.2006

Сообщений: 116,782

 18.04.2018, 17:10

Ответы с готовыми решениями:

Связь между двумя подсетями
Добрый вечер!

Есть два роутера, оба микротика, к одному подключен сервер (10.1.10.0/24), ко…

Подключение между подсетями и сервером
Добрый день.
Прошу опытных подсказать, можно ли осуществить данное дело и каким образом.
Есть…

NAT между двумя подсетями
Здравствуйте.
Требуется пробросить доступ через VPN к локальной сети.
Локальная сеть:…

Настройка доступа между подсетями
Суть вопроса: раскидать людей в разных отделах по подсетям(192,168,1,0/24 — админы, 192,168,2,0/24…

21

Эксперт по компьютерным сетям

3691 / 1377 / 250

Регистрация: 23.06.2009

Сообщений: 4,941

18.04.2018, 17:48

2

в инструкции написано добавить в мост LAN и туннельный интерфейс

Добавлено через 1 минуту
или если у вас уже есть мост (объединяющий порты или master порт и waln), то просто добавьте в тот мост туннельный интерфейс



0

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

18.04.2018, 18:40

 [ТС]

3

Цитата
Сообщение от .None
Посмотреть сообщение

у вас уже есть мост (объединяющий порты или master порт и waln), то просто добавьте в тот мост туннельный интерфейс

Вот именно это я и сделал поначалу
Настройки одного:

Код

 0    name="office-tunnel" mtu=auto actual-mtu=1458 l2mtu=65535 mac-address=ff:ff:ff:ff:ff:ff arp=enabled 
      arp-timeout=auto loop-protect=default loop-protect-status=off loop-protect-send-interval=5s 
      loop-protect-disable-time=5m local-address=a.a.a.a remote-address=b.b.b.b tunnel-id=0 
      keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no ipsec-secret="presharedKey" allow-fast-path=no

Настройки второго:

Код

 0    name="aland-tunnel-eoip" mtu=auto actual-mtu=1458 l2mtu=65535 mac-address=dd:dd:dd:dd:dd:dd arp=enabled arp-timeout=auto 
      loop-protect=default loop-protect-status=off loop-protect-send-interval=5s loop-protect-disable-time=5m local-address=b.b.b.b 
      remote-address=a.a.a.a tunnel-id=0 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no 
      ipsec-secret="presharedKey" allow-fast-path=no

Но туннель не поднимается. Возможно потому, что локальные адреса обоих микротиков совпадают? В файерволе ipsec разрешён



0

Эксперт по компьютерным сетям

3691 / 1377 / 250

Регистрация: 23.06.2009

Сообщений: 4,941

18.04.2018, 18:58

4

попробуйте сначала без добавления в мост, если не получится, попробуйте без ipsec, удалите ipsec-secret
в логах что-то пишет по поводу туннеля?

на время теста отключите запрещающие правила в фаерволе



0

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

18.04.2018, 20:00

 [ТС]

5

да, есть ошибки. Но что они значат? Пока попробую отключить ipsec

Код

19:15:46 ipsec,error no suitable proposal found. 
19:15:46 ipsec,error b.b.b.b failed to pre-process ph2 packet. 
19:15:56 ipsec,error b.b.b.b peer sent packet for dead phase2 
19:16:06 ipsec,error b.b.b.b peer sent packet for dead phase2

Добавлено через 42 минуты
Так, без IPsec туннель поднимается



0

Эксперт по компьютерным сетям

3691 / 1377 / 250

Регистрация: 23.06.2009

Сообщений: 4,941

18.04.2018, 20:04

6

это ошибки ipsec, попробуйте отключить

и еще IPoE работает через GRE, провайдер не блокирует часом GRE? в фаерволе разрешен?

Добавлено через 1 минуту
ну тогда проверяйте ipsec-secret должен быть одинаковый и настраивайте фаервол, определить просто, отключаете запрещающие правила, если соединение устанавливается то настраивайте фаервол



0

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

18.04.2018, 20:27

 [ТС]

7

Цитата
Сообщение от .None
Посмотреть сообщение

провайдер не блокирует часом GRE

Вряд ли, но как это узнать? В файерволе разрешено



0

Эксперт по компьютерным сетям

3691 / 1377 / 250

Регистрация: 23.06.2009

Сообщений: 4,941

18.04.2018, 20:36

8

если без ipsec туннель поднялся, то GRE не блокируется



0

Эксперт по компьютерным сетям

10927 / 6783 / 1814

Регистрация: 25.12.2012

Сообщений: 28,705

19.04.2018, 07:45

9

ViterAlex,

Цитата
Сообщение от .None
Посмотреть сообщение

и еще IPoE работает через GRE

тут EoIP
ViterAlex, делайте строго по инструкции — все должно подняться и заработать



0

Эксперт по компьютерным сетям

3691 / 1377 / 250

Регистрация: 23.06.2009

Сообщений: 4,941

19.04.2018, 08:48

10

Цитата
Сообщение от insect_87
Посмотреть сообщение

тут EoIP

верно, спутал, но все равно через GRE, лично проверял вчера



0

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

19.04.2018, 09:11

 [ТС]

11

Цитата
Сообщение от insect_87
Посмотреть сообщение

делайте строго по инструкции

Строго по инструкции. Без шифрования работает, с шифрованием падает с указанными ошибками. Буду копать описания ошибок, может удастся что-то найти.
Попутно вопрос: как эффективно фильтровать логи? Скажем для моего случая нужно отлавливать ошибки ipsec и debug



0

Эксперт по компьютерным сетям

3691 / 1377 / 250

Регистрация: 23.06.2009

Сообщений: 4,941

19.04.2018, 09:20

12

с большой вероятностью можно сказать что это фаервол, проверить можно отключением запрещающих правил в цепочке input
или добавлением разрешающих типа таких

Код

/ip firewall filter
> add chain=input action=accept protocol=udp dst-port=500 src-address=Y.Y.Y.Y
> add chain=input action=accept protocol=ipsec-esp src-address=Y.Y.Y.Y
> add chain=input action=accept protocol=ipsec-ah src-address=Y.Y.Y.Y

где Y.Y.Y.Y белый адрес второй стороны

или вообще можно разрешить весть трафик между белыми адресами не конкретизируя протоколы и порты



0

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

19.04.2018, 09:40

 [ТС]

13

.None, в файерволе именно такие правила и стоят. Плюс ещё для GRE. Стоят раньше запрещающих. Из запрещающих только это есть:

Код

 9    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

10    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new 
      connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix=""



0

Эксперт по компьютерным сетям

3691 / 1377 / 250

Регистрация: 23.06.2009

Сообщений: 4,941

19.04.2018, 10:06

14

а если добавить в самый верх на каждой стороне правило
add chain=input action=accept src-address=Y.Y.Y.Y

ситуация поменяется?

версия прошивок какая стоит? и какие микротики?

вам принципиально нужен L2? что хотите в итоге получить? как должно работать?



0

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

19.04.2018, 10:22

 [ТС]

15

Получилось! Суть была во фразе no suitable proposal found. Насколько я понял, это набор предоставляемых роутером алгоритмов шифрования. Этот набор указывается в Policy:

Код

/ip ipsec policy print without-paging 
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes 

 1  A  src-address=a.a.a.a src-port=any dst-address=b.b.b.b dst-port=any protocol=all 
       action=encrypt level=require ipsec-protocols=esp tunnel=no proposal=default ph2-count=1

А сам набор (Proposal) указывается отдельно:

Код

/ip ipsec proposal print
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024

Так вот эти наборы должны если не совпадать полностью, то пересекаться в пунктах auth-algorithms, enc-algorithms



0

Эксперт по компьютерным сетям

10927 / 6783 / 1814

Регистрация: 25.12.2012

Сообщений: 28,705

19.04.2018, 11:17

16

Цитата
Сообщение от ViterAlex
Посмотреть сообщение

А сам набор (Proposal)

там настройки шифрования и хеширования для фазы 2
они должны совпадать при настройке с обеих сторон



1

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

19.04.2018, 13:01

 [ТС]

17

Цитата
Сообщение от insect_87
Посмотреть сообщение

настройки шифрования и хеширования для фазы 2

А что тогда указывается во вкладке Encryption для Peers?



0

Модератор

Эксперт по компьютерным сетям

1502 / 595 / 112

Регистрация: 10.06.2009

Сообщений: 2,286

19.04.2018, 13:22

18

Цитата
Сообщение от ViterAlex
Посмотреть сообщение

А что тогда указывается во вкладке Encryption для Peers?

А какие маршрутизаторы у вас?



0

8923 / 4835 / 1885

Регистрация: 11.02.2013

Сообщений: 10,246

19.04.2018, 13:42

 [ТС]

19

NoNaMe, hAP ac lite RouterBOARD 952Ui-5ac2nD



0

Модератор

Эксперт по компьютерным сетям

1502 / 595 / 112

Регистрация: 10.06.2009

Сообщений: 2,286

19.04.2018, 14:37

20

Смоьтрите таблицу: https://wiki.mikrotik.com/wiki… celeration
AES-CBC любой длинны у МикроТика поддерживается на большинстве моделей хардварно….

Добавлено через 1 минуту
Так-же если канал маленький, а филиалов много, возможно использовать без шифрации. Например для видео потоков..



1
Источник

evgeniy7676

Сообщения: 58
Зарегистрирован: 19 май 2016, 14:52

Задача настроить MikroTik для подключения IOS

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=192.168.10.1 name=
ipsec use-encryption=yes

/interface l2tp-server server
set authentication=mschap2 default-profile=ipsec enabled=yes ipsec-secret=
12345678 max-mru=1460 max-mtu=1460 use-ipsec=yes

/ip ipsec peer
add address=0.0.0.0/0 compatibility-options=skip-peer-id-validation dh-group=
modp1024 dpd-interval=2s enc-algorithm=aes-256,aes-128,3des
exchange-mode=main-l2tp generate-policy=port-override secret=12345678

/ppp secret
add name=evgeniy password=evgeniy profile=ipsec remote-address=192.168.10.16
service=l2tp

Не подключается логи
18:28:35 ipsec,info respond new phase 1 (Identity Protection): 31.41.111.111[500]<=>46.211.149.111[33916]
18:28:35 ipsec,error no suitable proposal found.
18:28:35 ipsec,error 46.211.149.111 failed to get valid proposal.
18:28:35 ipsec,error 46.211.149.111 failed to pre-process ph1 packet (side: 1, status 1).
18:28:35 ipsec,error 46.211.149.111 phase1 negotiation failed.

Как настроить

Аватара пользователя

Chupaka

Сообщения: 3627
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

evgeniy7676

Сообщения: 58
Зарегистрирован: 19 май 2016, 14:52

Re: Задача настроить MikroTik для подключения IOS

Сообщение

evgeniy7676 » 01 дек 2017, 11:43

/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
lifetime=8h pfs-group=none

/interface l2tp-server server
set authentication=mschap2 default-profile=default enabled=yes ipsec-secret=
12345678 max-mru=1460 max-mtu=1460 use-ipsec=yes

/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 enc-algorithm=
aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=
port-override passive=yes policy-template-group=group1 secret=12345678
/ip ipsec policy
set 0 group=group1

/ppp secret
add local-address=172.16.0.1 name=evgeniy password=evgeniy profile=
default-encryption remote-address=172.16.0.2 service=l2tp
add local-address=172.16.0.1 name=evgeniy1 password=evgeniy1 profile=
default-encryption remote-address=172.16.0.3 service=l2tp
add local-address=172.16.0.1 name=2 password=2 profile=default-encryption
remote-address=172.16.0.4 service=l2tp

Аватара пользователя

Chupaka

Сообщения: 3627
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Аватара пользователя

Chupaka

Сообщения: 3627
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Источник

Допустим, что у Вас есть несколько филиалов, связанных VPN (L2TP+IPSec) туннелями. Или без IPSec, всякое может быть. Или маршрутизатор стоит у родственника в Германии и Вы используете его для обхода блокировки сайтов. Буквально через сутки-двое после настройки, в логах начинают появляться записи вида:

04:41:13 ipsec,info respond new phase 1 (Identity Protection): xxx.xxx.xxx.xxx[500]<=217.25.18.110[500] 04:41:13 ipsec,error no suitable proposal found.
04:41:13 ipsec,error 217.25.18.110 failed to get valid proposal.
04:41:13 ipsec,error 217.25.18.110 failed to pre-process ph1 packet (side: 1, stat us 1). 04:41:13 ipsec,error 217.25.18.110 phase1 negotiation fail

Это значит, что какой-то бот, управляемый добрым дядюшкой Ляо или другими товарищами, пытается подключитсяподобрать парольвид авторизации. А может кто-то и вручную пытается расшатать дымоход вашего поместья Ваш VPN.

Я начал искать варианты защиты и наткнулся сначала на тему на официальном форуме, а в конце была ссылка на вот такой набор скриптов на Github.

Собственно, там все ясно, как белый день. Если кто не дружит с английским, то расскажу просто и быстро, как использовать их под свои нужды. Скачиваем правила для фаервола и 3 скрипта. Первые необходимо отредактировать, заменяем интерфейс ether1-WAN на свой и применяем в Mikrotik’е. Потом подымаем правила повыше в списке.
Далее редактируем скрипты, меняем alerts@mail.srv на свой ящик и в [:resolve mail.srv] изменяем mail.srv на свой smtp сервер. После добавляем скрипты в System — Scripts, а после этого и в планировщик — System — Scheduler.

Теперь осталось только проверить работоспособность, подключаемся к Mikrotik через Winbox, открываем логи и пытаемся подключиться к VPN серверу с некорректными учетными данными, должна появиться ошибка в логах. А после этого, когда отработает скрипт, IP будет занесен в список l2tp-brutforce в фаерволе и на почту придет сообщение.

https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
https://forum.mikrotik.com/viewtopic.php?t=58585
https://github.com/Onoro/Mikrotik

Источник

  1. Mikrotik RB3011UiAS RouterOS v6.36.4
    Всем привет, подскажите кто сталкивался, при включенном l2tp сервере в логи периодически сыпется ошибка:

    memory warning ipv4 neighbor table overflow, please consider increasing max-neighbor-entries

    а если еще к l2tp серверу подключаются клиенты то еще помимо этой ошибки дополнительно начала выпадать ошибка:

    memory ipsec, error no suitable proposal found
    memory ipsec, error xxx.xxx.xxx.xxx failed to get valid proposal
    memory ipsec, error xxx.xxx.xxx.xxx failed to pre-process ph 1 packet (sude: 1,status 1)
    memory ipsec, error xxx.xxx.xxx.xxx phase 1 negotiation failed

    Профиль l2tp:

    name=»L2TP-server» local-address=192.168.10.1 remote-address=l2tp_pool use-mpls=yes
    use-compression=no use-encryption=yes only-one=default change-tcp-mss=yes use-upnp=default
    address-list=»» on-up=»» on-down=»»

    У клиентов все работает нормально, быстро…

    Ipsec Proposal:

    name=»default» auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc
    lifetime=30m pfs-group=modp1024

  2. Попробуйте 6.38 там много исправлений по ipsec и l2tp

  3. Спасибо большое Илья, на выходных обязательно обновлюсь)


Форум SPW

Источник

Понравилась статья? Поделить с друзьями:

Вот еще несколько интересных статей:

  • No suitable graphics card found terraria как исправить windows 7
  • No such partition grub rescue исправить windows 10
  • No such file при загрузке windows
  • No speakers or headphones are plugged in windows 10 что делать
  • No sound device detected windows 10

    • 0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии