IPSec Server и Windows 10 за NAT'ом

Обсуждение ПО и его настройки
Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

Доброго времени суток.
Схема простая - Домашний комп на Windows 10 -> Домашний роутер с серым IP -> Рабочий шлюз Mikrotik с OS v. 6.41 + белый IP.
Хочу поднять L2tp/IPSec туннель.
После нескольких тестов определил, что подключение происходит только при настройке
/ip ipsec peer
add address=0.0.0.0/0 port=500 auth-method=pre-shared-key hash-algorithm=sha1 enc-algorithm=3des generate-policy=port-strict exchange-mode=main nat-traversal=yes secret="ipsec-secret" send-initial-contact=no dpd-interval=15s dpd-maximum-failures=2

Отсюда вопрос: как настроить любое другое шифрование?

Остальные настройки:

Код: Выделить всё


/ppp profile
add change-tcp-mss=yes local-address=x.x.x.x name=l2tp remote-address=l2tp-pool

/ppp secret
add name=client1 password=secret1 profile=l2tp service=l2tp

/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

В profile default, proposal default - согласуйте фазы с обеих сторон.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Vlad_45 писал(а): 16 апр 2020, 11:36
/ip ipsec peer
add address=0.0.0.0/0 port=500 auth-method=pre-shared-key hash-algorithm=sha1 enc-algorithm=3des generate-policy=port-strict exchange-mode=main nat-traversal=yes secret="ipsec-secret" send-initial-contact=no dpd-interval=15s dpd-maximum-failures=2

Отсюда вопрос: как настроить любое другое шифрование?
В профиле в Encryption Algorithm добавьте галочку на aes-128 и aes-256. Они начнут работать. Будет другой мезанизм шифрования.


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

Erik_U писал(а): 16 апр 2020, 13:13
В профиле в Encryption Algorithm добавьте галочку на aes-128 и aes-256. Они начнут работать. Будет другой мезанизм шифрования.
В том-то и дело, я перебрал разные методы шифрования, в том числе aes-128 и 256. Подключение проходит только по 3des. Если с него снять галочку, то подключение не устанавливается. Ошибка на 1-й фазе (failed to get valid proposal, encklen = 256 : 0)
Последний раз редактировалось Vlad_45 16 апр 2020, 14:33, всего редактировалось 1 раз.


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

easyman писал(а): 16 апр 2020, 12:12 В profile default, proposal default - согласуйте фазы с обеих сторон.
На другой стороне нет микротика. Подключение типа клиент - сервер. Клиент - Windows 10 за тупым домашним роутером.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

У меня стоят все 3 - 3des, aes-128 и aes-256.
Работает aes-256.

В IP:IPsec.Installed_SAs у себя посмотрите, какой механизм в каком соединении работает.


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

2020-04-16_18-43-40.png
(60.42 КБ) 0 скачиваний
Вот в этом конфиге не работает.
Если в выделенной области добавить 3des, то подключится.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Вот конфиг
Изображение
Вот результат
Изображение


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

Erik_U писал(а): 16 апр 2020, 14:42 У меня стоят все 3 - 3des, aes-128 и aes-256.
Работает aes-256.

В IP:IPsec.Installed_SAs у себя посмотрите, какой механизм в каком соединении работает.
Действительно, указано aes cbc. Но если отключить все, кроме 3des, все равно результат будет такой же)

Почему я усомнился в этом вопросе, так это потому, что после отключения 3des, подключение не устанавливается


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

2020-04-16_19-01-18.png
(17.28 КБ) 0 скачиваний
Даже так показывает типа aes


Ответить