Не работает подключение L2TP + IPsec с MacOS

Обсуждение ПО и его настройки
Ответить
Tarv
Сообщения: 8
Зарегистрирован: 07 апр 2021, 15:04

Добрый день, настроил L2TP + IPsec + Radius, подключения с Windows клиентов работает, а вот при подключении с MacOS в логах ошибки. Все решения которые находил в интернете подходят для старых версий RouterOS. Используется версия MikroTik RouterOS 6.48.1
Ошибки которые в журнале Mikrotik:

Код: Выделить всё

22:26:30 ipsec no template matches 
22:26:30 ipsec failed to get proposal for responder. 
22:26:30 ipsec,error x.x.x.x failed to pre-process ph2 packet.
Ошибка которая на самом Mac появляется:

Код: Выделить всё

Fatal NO-PROPOSAL-CHOSEN notify message, Phase 1 should be deleted
На текущий момент настройки такие:

Код: Выделить всё

 interface l2tp-server server print
               enabled: yes
               max-mtu: 1450
               max-mru: 1450
                  mrru: disabled
        authentication: mschap2
     keepalive-timeout: 30
          max-sessions: unlimited
       default-profile: l2tp_profile
             use-ipsec: yes
          ipsec-secret: xxxxxxx
        caller-id-type: number
  one-session-per-host: no
       allow-fast-path: no

Код: Выделить всё

ppp profile print
name="l2tp_profile" local-address=196.168.6.1 remote-address=dhcp bridge-learning=default use-mpls=default use-compression=default 
     use-encryption=default only-one=default change-tcp-mss=default use-upnp=default address-list="" dns-server=192.168.6.1,192.168.6.11 on-up="" 
     on-down=""

Код: Выделить всё

ip ipsec peer
DR name="l2tp-in-server" passive=yes profile=default exchange-mode=main send-initial-contact=yes
ip ipsec peer
0  * name="default" auth-algorithms=md5 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=8h pfs-group=modp1024 
ip ipsec profile print
0 * name="default" hash-algorithm=md5 enc-algorithm=aes-256,aes-128 dh-group=modp1024 lifetime=1d proposal-check=obey nat-traversal=yes 
     dpd-interval=disable-dpd
Насколько я понимаю MacOS не нравятся алгоритмы шифрования, и то что ipsec использует ike1, но как это поменять если ipsec peer создается динамически и не дает поменять exchange-mode и позволяет использовать только профили используемые по default.
Пробовал с wiki рекомендации для iOS, не помогло:

Код: Выделить всё

/ip ipsec proposal
set default enc-algorithms=aes-128-cbc,aes-256-cbc lifetime=8h \
    pfs-group=none
Помогите разобраться, куда копать и что можно подправить?


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну так а свои настройки для proposal и profile покажите.
Что macOS, что iOS без проблем работают с дефолтными.


Telegram: @thexvo
Вернуться к началу
Tarv
Сообщения: 8
Зарегистрирован: 07 апр 2021, 15:04

xvo писал(а): 13 апр 2021, 08:48 Ну так а свои настройки для proposal и profile покажите.
Что macOS, что iOS без проблем работают с дефолтными.
Насткройки profile выше указывал.

Код: Выделить всё

ip ipsec proposal print
0  * name="default" auth-algorithms=md5 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=8h pfs-group=modp1024


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Tarv писал(а): 13 апр 2021, 11:07 auth-algorithms=md5
sha1 ему надо добавить.


Telegram: @thexvo
Вернуться к началу
Tarv
Сообщения: 8
Зарегистрирован: 07 апр 2021, 15:04

xvo писал(а): 13 апр 2021, 11:10
Tarv писал(а): 13 апр 2021, 11:07 auth-algorithms=md5
sha1 ему надо добавить.
no template matches
failed to get proposal for responder.
failed to pre-process ph2 packet.

Код: Выделить всё

0  * name="default" auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=8h pfs-group=modp1024


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Так, lifetime ещё верните на полчаса.

Код: Выделить всё

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr
С такими настройками заведомо должно работать.


Telegram: @thexvo
Вернуться к началу
Tarv
Сообщения: 8
Зарегистрирован: 07 апр 2021, 15:04

xvo писал(а): 13 апр 2021, 11:33 Так, lifetime ещё верните на полчаса.

Код: Выделить всё

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr
С такими настройками заведомо должно работать.
Проверил, не работает, я уже пробовал эти алгоритмы в proposal, и какой в proposal pfs-group? Я и none пробовал и mod1024. Я и в proposal и profile все алгоритмы шифрования отмечал, только в profile еще не пробовал hash-algorithm'ы все.
Есть рабочий конфиг для RouterOS 6.48 в котором MacOS Big Sur подключается? Может скинете я посмотрю чего мне не хватает.


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

modp1024

Чуть попозже попробую именно big sur и именно с 6.48.x.
Но вообще вы сами не пробовали на 6.47 long-term пересесть - там ситуация такая же?


Telegram: @thexvo
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Значит пока попробовал подключиться с Big Sur к уже работающим серверам (пробовал 6.46.7 long-term и 6.47.8 stable).
Все ок с (почти) стандартными настройками, только аутентификацию он в отличие от более старых осей использует sha256.

Сейчас попробую куда-нибудь накатить 6.48.2 для теста.

Upd.: к 6.48.2 подключился так же без проблем, причем с вообще дефолтными настройками (так что, например, sha1 не помеха).

Так что вопрос - как вы настраиваете клиента?


Telegram: @thexvo
Вернуться к началу
Tarv
Сообщения: 8
Зарегистрирован: 07 апр 2021, 15:04

xvo писал(а): 13 апр 2021, 21:21 Так что вопрос - как вы настраиваете клиента?
Как описано в статье
Логин пароль, адрес сервера и общий секрет, там никаких супер настроек нету. Можете кинуть принты ipsec profile и ipsec proposal? Попробую еще конечно обновиться с 6.48.1. до 6.48.2, потом еще 6.47 проверю если не заработает.


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»