Должны совпадать настройки на 2х концах для 2х фаз
/system logging
add topics=ipsec,!packet
Вот что шлет андроид,
22:33:29 ipsec IKE Protocol: IKE
22:33:29 ipsec proposal #1
22:33:29 ipsec enc: aes128-cbc
22:33:29 ipsec enc: aes192-cbc
22:33:29 ipsec enc: aes256-cbc
22:33:29 ipsec enc: 3des-cbc
22:33:29 ipsec prf: hmac-sha256
22:33:29 ipsec prf: hmac-sha384
22:33:29 ipsec prf: hmac-sha512
22:33:29 ipsec prf: unknown
22:33:29 ipsec prf: hmac-sha1
22:33:29 ipsec auth: sha256
22:33:29 ipsec auth: sha384
22:33:29 ipsec auth: sha512
22:33:29 ipsec auth: sha1
22:33:29 ipsec auth: unknown
22:33:29 ipsec dh: ecp521
22:33:29 ipsec dh: ecp256
22:33:29 ipsec dh: ecp384
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: modp3072
22:33:29 ipsec dh: modp4096
22:33:29 ipsec dh: modp6144
22:33:29 ipsec dh: modp8192
22:33:29 ipsec dh: modp2048
22:33:29 ipsec proposal #2
22:33:29 ipsec enc: aes128-gcm
22:33:29 ipsec enc: aes192-gcm
22:33:29 ipsec enc: aes256-gcm
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec prf: hmac-sha256
22:33:29 ipsec prf: hmac-sha384
22:33:29 ipsec prf: hmac-sha512
22:33:29 ipsec prf: unknown
22:33:29 ipsec prf: hmac-sha1
22:33:29 ipsec dh: ecp521
22:33:29 ipsec dh: ecp256
22:33:29 ipsec dh: ecp384
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: modp3072
22:33:29 ipsec dh: modp4096
22:33:29 ipsec dh: modp6144
22:33:29 ipsec dh: modp8192
22:33:29 ipsec dh: modp2048
т.е. для него, например, могу выбрать конфиг для 1 фазы (вкладка profiles) enc: aes256-cbc auth: sha256 prf: hmac-sha256 (либо авто оставить) dh: modp2048
Для фазы 2 (вкладка Proposals) enc: aes256-cbc auth: sha256
22:33:31 ipsec IKE Protocol: ESP
22:33:31 ipsec proposal #1
22:33:31 ipsec enc: aes256-gcm
22:33:31 ipsec enc: aes128-gcm
22:33:31 ipsec enc: unknown
22:33:31 ipsec proposal #2
22:33:31 ipsec enc: aes256-cbc
22:33:31 ipsec enc: aes192-cbc
22:33:31 ipsec enc: aes128-cbc
22:33:31 ipsec auth: sha384
22:33:31 ipsec auth: sha256
22:33:31 ipsec auth: sha512
22:33:31 ipsec auth: sha1
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
1 |
|
|
18.04.2018, 17:10. Показов 11378. Ответов 21
Делаю настройку туннеля по инструкции
0 |
|
Programming Эксперт 94731 / 64177 / 26122 Регистрация: 12.04.2006 Сообщений: 116,782 |
18.04.2018, 17:10 |
|
Ответы с готовыми решениями: Связь между двумя подсетями Есть два роутера, оба микротика, к одному подключен сервер (10.1.10.0/24), ко… Подключение между подсетями и сервером
Настройка доступа между подсетями 21 |
NAT между двумя подсетями|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
18.04.2018, 17:48 |
2 |
|
в инструкции написано добавить в мост LAN и туннельный интерфейс Добавлено через 1 минуту
0 |
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
18.04.2018, 18:40 [ТС] |
3 |
|
у вас уже есть мост (объединяющий порты или master порт и waln), то просто добавьте в тот мост туннельный интерфейс Вот именно это я и сделал поначалу Код 0 name="office-tunnel" mtu=auto actual-mtu=1458 l2mtu=65535 mac-address=ff:ff:ff:ff:ff:ff arp=enabled
arp-timeout=auto loop-protect=default loop-protect-status=off loop-protect-send-interval=5s
loop-protect-disable-time=5m local-address=a.a.a.a remote-address=b.b.b.b tunnel-id=0
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no ipsec-secret="presharedKey" allow-fast-path=no
Настройки второго: Код 0 name="aland-tunnel-eoip" mtu=auto actual-mtu=1458 l2mtu=65535 mac-address=dd:dd:dd:dd:dd:dd arp=enabled arp-timeout=auto
loop-protect=default loop-protect-status=off loop-protect-send-interval=5s loop-protect-disable-time=5m local-address=b.b.b.b
remote-address=a.a.a.a tunnel-id=0 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="presharedKey" allow-fast-path=no
Но туннель не поднимается. Возможно потому, что локальные адреса обоих микротиков совпадают? В файерволе ipsec разрешён
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
18.04.2018, 18:58 |
4 |
|
попробуйте сначала без добавления в мост, если не получится, попробуйте без ipsec, удалите ipsec-secret на время теста отключите запрещающие правила в фаерволе
0 |
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
18.04.2018, 20:00 [ТС] |
5 |
|
да, есть ошибки. Но что они значат? Пока попробую отключить ipsec Код 19:15:46 ipsec,error no suitable proposal found. 19:15:46 ipsec,error b.b.b.b failed to pre-process ph2 packet. 19:15:56 ipsec,error b.b.b.b peer sent packet for dead phase2 19:16:06 ipsec,error b.b.b.b peer sent packet for dead phase2 Добавлено через 42 минуты
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
18.04.2018, 20:04 |
6 |
|
это ошибки ipsec, попробуйте отключить и еще IPoE работает через GRE, провайдер не блокирует часом GRE? в фаерволе разрешен? Добавлено через 1 минуту
0 |
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
18.04.2018, 20:27 [ТС] |
7 |
|
провайдер не блокирует часом GRE Вряд ли, но как это узнать? В файерволе разрешено
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
18.04.2018, 20:36 |
8 |
|
если без ipsec туннель поднялся, то GRE не блокируется
0 |
|
10927 / 6783 / 1814 Регистрация: 25.12.2012 Сообщений: 28,705 |
|
|
19.04.2018, 07:45 |
9 |
|
ViterAlex,
и еще IPoE работает через GRE тут EoIP
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
19.04.2018, 08:48 |
10 |
|
тут EoIP верно, спутал, но все равно через GRE, лично проверял вчера
0 |
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 09:11 [ТС] |
11 |
|
делайте строго по инструкции Строго по инструкции. Без шифрования работает, с шифрованием падает с указанными ошибками. Буду копать описания ошибок, может удастся что-то найти.
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
19.04.2018, 09:20 |
12 |
|
с большой вероятностью можно сказать что это фаервол, проверить можно отключением запрещающих правил в цепочке input Код /ip firewall filter > add chain=input action=accept protocol=udp dst-port=500 src-address=Y.Y.Y.Y > add chain=input action=accept protocol=ipsec-esp src-address=Y.Y.Y.Y > add chain=input action=accept protocol=ipsec-ah src-address=Y.Y.Y.Y где Y.Y.Y.Y белый адрес второй стороны или вообще можно разрешить весть трафик между белыми адресами не конкретизируя протоколы и порты
0 |
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 09:40 [ТС] |
13 |
|
.None, в файерволе именно такие правила и стоят. Плюс ещё для GRE. Стоят раньше запрещающих. Из запрещающих только это есть: Код 9 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""
10 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix=""
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
19.04.2018, 10:06 |
14 |
|
а если добавить в самый верх на каждой стороне правило ситуация поменяется? версия прошивок какая стоит? и какие микротики? вам принципиально нужен L2? что хотите в итоге получить? как должно работать?
0 |
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 10:22 [ТС] |
15 |
|
Получилось! Суть была во фразе Код /ip ipsec policy print without-paging
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default
0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
1 A src-address=a.a.a.a src-port=any dst-address=b.b.b.b dst-port=any protocol=all
action=encrypt level=require ipsec-protocols=esp tunnel=no proposal=default ph2-count=1
А сам набор (Proposal) указывается отдельно: Код /ip ipsec proposal print Flags: X - disabled, * - default 0 * name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024 Так вот эти наборы должны если не совпадать полностью, то пересекаться в пунктах
0 |
|
10927 / 6783 / 1814 Регистрация: 25.12.2012 Сообщений: 28,705 |
|
|
19.04.2018, 11:17 |
16 |
|
А сам набор (Proposal) там настройки шифрования и хеширования для фазы 2
1 |
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 13:01 [ТС] |
17 |
|
настройки шифрования и хеширования для фазы 2 А что тогда указывается во вкладке Encryption для Peers?
0 |
|
Модератор
1502 / 595 / 112 Регистрация: 10.06.2009 Сообщений: 2,286 |
|
|
19.04.2018, 13:22 |
18 |
|
А что тогда указывается во вкладке Encryption для Peers? А какие маршрутизаторы у вас?
0 |
|
8923 / 4835 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 13:42 [ТС] |
19 |
|
NoNaMe, hAP ac lite RouterBOARD 952Ui-5ac2nD
0 |
|
Модератор
1502 / 595 / 112 Регистрация: 10.06.2009 Сообщений: 2,286 |
|
|
19.04.2018, 14:37 |
20 |
|
Смоьтрите таблицу: https://wiki.mikrotik.com/wiki… celeration Добавлено через 1 минуту
1 |
-
evgeniy7676
- Сообщения: 58
- Зарегистрирован: 19 май 2016, 14:52
Задача настроить MikroTik для подключения IOS
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des
/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=192.168.10.1 name=
ipsec use-encryption=yes
/interface l2tp-server server
set authentication=mschap2 default-profile=ipsec enabled=yes ipsec-secret=
12345678 max-mru=1460 max-mtu=1460 use-ipsec=yes
/ip ipsec peer
add address=0.0.0.0/0 compatibility-options=skip-peer-id-validation dh-group=
modp1024 dpd-interval=2s enc-algorithm=aes-256,aes-128,3des
exchange-mode=main-l2tp generate-policy=port-override secret=12345678
/ppp secret
add name=evgeniy password=evgeniy profile=ipsec remote-address=192.168.10.16
service=l2tp
Не подключается логи
18:28:35 ipsec,info respond new phase 1 (Identity Protection): 31.41.111.111[500]<=>46.211.149.111[33916]
18:28:35 ipsec,error no suitable proposal found.
18:28:35 ipsec,error 46.211.149.111 failed to get valid proposal.
18:28:35 ipsec,error 46.211.149.111 failed to pre-process ph1 packet (side: 1, status 1).
18:28:35 ipsec,error 46.211.149.111 phase1 negotiation failed.
Как настроить
-
Chupaka
- Сообщения: 3627
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
-
evgeniy7676
- Сообщения: 58
- Зарегистрирован: 19 май 2016, 14:52
Re: Задача настроить MikroTik для подключения IOS
Сообщение
evgeniy7676 » 01 дек 2017, 11:43
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
lifetime=8h pfs-group=none
/interface l2tp-server server
set authentication=mschap2 default-profile=default enabled=yes ipsec-secret=
12345678 max-mru=1460 max-mtu=1460 use-ipsec=yes
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 enc-algorithm=
aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=
port-override passive=yes policy-template-group=group1 secret=12345678
/ip ipsec policy
set 0 group=group1
/ppp secret
add local-address=172.16.0.1 name=evgeniy password=evgeniy profile=
default-encryption remote-address=172.16.0.2 service=l2tp
add local-address=172.16.0.1 name=evgeniy1 password=evgeniy1 profile=
default-encryption remote-address=172.16.0.3 service=l2tp
add local-address=172.16.0.1 name=2 password=2 profile=default-encryption
remote-address=172.16.0.4 service=l2tp
-
Chupaka
- Сообщения: 3627
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
-
Chupaka
- Сообщения: 3627
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Допустим, что у Вас есть несколько филиалов, связанных VPN (L2TP+IPSec) туннелями. Или без IPSec, всякое может быть. Или маршрутизатор стоит у родственника в Германии и Вы используете его для обхода блокировки сайтов. Буквально через сутки-двое после настройки, в логах начинают появляться записи вида:
04:41:13 ipsec,info respond new phase 1 (Identity Protection): xxx.xxx.xxx.xxx[500]<=217.25.18.110[500] 04:41:13 ipsec,error no suitable proposal found.
04:41:13 ipsec,error 217.25.18.110 failed to get valid proposal.
04:41:13 ipsec,error 217.25.18.110 failed to pre-process ph1 packet (side: 1, stat us 1). 04:41:13 ipsec,error 217.25.18.110 phase1 negotiation fail
Это значит, что какой-то бот, управляемый добрым дядюшкой Ляо или другими товарищами, пытается подключитсяподобрать парольвид авторизации. А может кто-то и вручную пытается расшатать дымоход вашего поместья Ваш VPN.
Я начал искать варианты защиты и наткнулся сначала на тему на официальном форуме, а в конце была ссылка на вот такой набор скриптов на Github.
Собственно, там все ясно, как белый день. Если кто не дружит с английским, то расскажу просто и быстро, как использовать их под свои нужды. Скачиваем правила для фаервола и 3 скрипта. Первые необходимо отредактировать, заменяем интерфейс ether1-WAN на свой и применяем в Mikrotik’е. Потом подымаем правила повыше в списке.
Далее редактируем скрипты, меняем alerts@mail.srv на свой ящик и в [:resolve mail.srv] изменяем mail.srv на свой smtp сервер. После добавляем скрипты в System — Scripts, а после этого и в планировщик — System — Scheduler.
Теперь осталось только проверить работоспособность, подключаемся к Mikrotik через Winbox, открываем логи и пытаемся подключиться к VPN серверу с некорректными учетными данными, должна появиться ошибка в логах. А после этого, когда отработает скрипт, IP будет занесен в список l2tp-brutforce в фаерволе и на почту придет сообщение.
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
https://forum.mikrotik.com/viewtopic.php?t=58585
https://github.com/Onoro/Mikrotik
-
Mikrotik RB3011UiAS RouterOS v6.36.4
Всем привет, подскажите кто сталкивался, при включенном l2tp сервере в логи периодически сыпется ошибка:memory warning ipv4 neighbor table overflow, please consider increasing max-neighbor-entries
а если еще к l2tp серверу подключаются клиенты то еще помимо этой ошибки дополнительно начала выпадать ошибка:
memory ipsec, error no suitable proposal found
memory ipsec, error xxx.xxx.xxx.xxx failed to get valid proposal
memory ipsec, error xxx.xxx.xxx.xxx failed to pre-process ph 1 packet (sude: 1,status 1)
memory ipsec, error xxx.xxx.xxx.xxx phase 1 negotiation failedПрофиль l2tp:
name=»L2TP-server» local-address=192.168.10.1 remote-address=l2tp_pool use-mpls=yes
use-compression=no use-encryption=yes only-one=default change-tcp-mss=yes use-upnp=default
address-list=»» on-up=»» on-down=»»У клиентов все работает нормально, быстро…
Ipsec Proposal:
name=»default» auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc
lifetime=30m pfs-group=modp1024 -
Попробуйте 6.38 там много исправлений по ipsec и l2tp
-
Спасибо большое Илья, на выходных обязательно обновлюсь)
