ipsec,error failed to get valid proposal

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
overdriven
Сообщения: 4
Зарегистрирован: 13 окт 2016, 13:16
Откуда: Калининград

Здравствуйте!

Mikrotik RB951Ui-2HnD RouterOS 6.34.6
Интернет от провайдера получаю по PPPoE. Имею статический белый IP.

Практически каждую ночь имею вот такую запись в логе:
03:55:56 ipsec,error failed to get valid proposal.
03:55:56 ipsec,error failed to pre-process ph1 packet (side: 1, status 1).
03:55:56 ipsec,error phase1 negotiation failed.

Рядом ничего нет. Ближайшие записи:
nov/07 23:20:24 system,info,account user #### logged out from ##.##.##.## via winbox

06:31:07 dhcp,info TBase-DHCP assigned ##.##.##.## to ##:##:##:##:##:##

Что это?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Посмотрите в микротике есть VPN с IPSec, то ли клиент, то ли сервер. Выключите.

Было бы проще, если бы показали конфиг.


Аватара пользователя
overdriven
Сообщения: 4
Зарегистрирован: 13 окт 2016, 13:16
Откуда: Калининград

gmx писал(а):Посмотрите в микротике есть VPN с IPSec, то ли клиент, то ли сервер. Выключите.

Было бы проще, если бы показали конфиг.


Я настраивал L2TP с IPsec сервер, но потом отключил.
Настройки proposal, сделал как по дефолту.

mrrc писал(а):У вас VPN-сервер поднят, по всей видимости? Кто-то пытался подключиться.
На вашей прошивке именно такие сообщения появлялись, на последних прошивках еще и адреса подключавшегося указывается.


Да, немного обновился, появился IP, с которого происходит подключение: 216.218.206.102
htmlweb.ru пишет, что это Домен: scan-05i.shadowserver.org

Вот так... Сканируют америкосы. Посмотрим, следующие IP из той же серии будут?


djek
Сообщения: 1
Зарегистрирован: 30 авг 2018, 14:00

извиняюсь за поднятие старой темы, но у меня та же самая проблема, L2TP с IPsec, и каждый день эти попытки спамят алертами в почту, что не приятно, подскажите как заблочить эту подсеть, чтобы они они обламывались на подходе?


ivan.Life
Сообщения: 1
Зарегистрирован: 27 фев 2019, 15:29

overdriven писал(а): 16 ноя 2016, 15:15
Да, немного обновился, появился IP, с которого происходит подключение: 216.218.206.102
htmlweb.ru пишет, что это Домен: scan-05i.shadowserver.org

Вот так... Сканируют америкосы. Посмотрим, следующие IP из той же серии будут?
Та же фигня долбят с этого ip, только хосты разные бывают.. по этому собственно и пришёл сюда.

Остальным спасибо за ответ! надеюсь у меня всё правильно настроено и переживать не о чем )


Temp-acc
Сообщения: 1
Зарегистрирован: 11 ноя 2019, 22:34

Сам искал решение проблемы и решил поделиться тем, что накопал.
https://github.com/Onoro/Mikrotik

Вроде бы скрипты работают)


BodyDub
Сообщения: 1
Зарегистрирован: 18 окт 2019, 13:38

У меня такая же ошибка но с IP 216.218.206.106


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

У меня эта /24 подсеть на всех роутерах в перманентном блэклисте.


Telegram: @thexvo
Phantimbl4
Сообщения: 1
Зарегистрирован: 24 май 2022, 14:56

Господа, товарищи помогите решить данную проблему. :cry_ing:
Про пытающихся пробиться левых, всё понятно
А когда сам пробиться не можешь, куда ткнуть ? Откуда смотреть?


no suitable proposal found
failed to get valid proposal
failed to pre-process pph1 packet (side:1 status 1)
phase 1 negotiation failed


seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

Должны совпадать настройки на 2х концах для 2х фаз

/system logging
add topics=ipsec,!packet

Вот что шлет андроид,

22:33:29 ipsec IKE Protocol: IKE
22:33:29 ipsec proposal #1
22:33:29 ipsec enc: aes128-cbc
22:33:29 ipsec enc: aes192-cbc
22:33:29 ipsec enc: aes256-cbc
22:33:29 ipsec enc: 3des-cbc
22:33:29 ipsec prf: hmac-sha256
22:33:29 ipsec prf: hmac-sha384
22:33:29 ipsec prf: hmac-sha512
22:33:29 ipsec prf: unknown
22:33:29 ipsec prf: hmac-sha1
22:33:29 ipsec auth: sha256
22:33:29 ipsec auth: sha384
22:33:29 ipsec auth: sha512
22:33:29 ipsec auth: sha1
22:33:29 ipsec auth: unknown
22:33:29 ipsec dh: ecp521
22:33:29 ipsec dh: ecp256
22:33:29 ipsec dh: ecp384
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: modp3072
22:33:29 ipsec dh: modp4096
22:33:29 ipsec dh: modp6144
22:33:29 ipsec dh: modp8192
22:33:29 ipsec dh: modp2048
22:33:29 ipsec proposal #2
22:33:29 ipsec enc: aes128-gcm
22:33:29 ipsec enc: aes192-gcm
22:33:29 ipsec enc: aes256-gcm
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec prf: hmac-sha256
22:33:29 ipsec prf: hmac-sha384
22:33:29 ipsec prf: hmac-sha512
22:33:29 ipsec prf: unknown
22:33:29 ipsec prf: hmac-sha1
22:33:29 ipsec dh: ecp521
22:33:29 ipsec dh: ecp256
22:33:29 ipsec dh: ecp384
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: modp3072
22:33:29 ipsec dh: modp4096
22:33:29 ipsec dh: modp6144
22:33:29 ipsec dh: modp8192
22:33:29 ipsec dh: modp2048

т.е. для него, например, могу выбрать конфиг для 1 фазы (вкладка profiles) enc: aes256-cbc auth: sha256 prf: hmac-sha256 (либо авто оставить) dh: modp2048


Для фазы 2 (вкладка Proposals) enc: aes256-cbc auth: sha256

22:33:31 ipsec IKE Protocol: ESP
22:33:31 ipsec proposal #1
22:33:31 ipsec enc: aes256-gcm
22:33:31 ipsec enc: aes128-gcm
22:33:31 ipsec enc: unknown
22:33:31 ipsec proposal #2
22:33:31 ipsec enc: aes256-cbc
22:33:31 ipsec enc: aes192-cbc
22:33:31 ipsec enc: aes128-cbc
22:33:31 ipsec auth: sha384
22:33:31 ipsec auth: sha256
22:33:31 ipsec auth: sha512
22:33:31 ipsec auth: sha1


Обладатель Mikrotik RB2011UAS-2HnD-IN
Ответить