IPSec Proton VPN

[Avnn]

Здравствуйте.
Возникло желание использовать Proton VPN (тем более, что там доступен бесплатный вариант) для некоторых видов соединений.
Почитал https://protonvpn.com/support/vpn-mikrotik-router/, https://protonvpn.com/support/linux-ikev2-protonvpn/, кажется, все понятно.
Конфигурация IPSec

Код: Выделить всё

# dec/19/2021 02:47:47 by RouterOS 7.1

/ip ipsec mode-config
add connection-mark=Proton_VPN name="ProtonVPN mode config" responder=no
/ip ipsec policy group
add name=ProtonVPN
/ip ipsec profile
add dh-group=modp4096,modp2048,modp1024 dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 name="ProtonVPN profile"
/ip ipsec peer
add address=nl-free-06.protonvpn.com exchange-mode=ike2 name="ProtonVPN server" port=1194 profile="ProtonVPN profile"
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=0s name="ProtonVPN proposal" pfs-group=none
/ip ipsec identity
add auth-method=eap certificate=ProtonVPN_ike_root.der_0 eap-methods=eap-mschapv2 generate-policy=port-override mode-config="ProtonVPN mode config" peer="ProtonVPN server" policy-template-group=ProtonVPN username=user_name
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ProtonVPN proposal="ProtonVPN proposal" src-address=0.0.0.0/0 template=yes

/interface l2tp-client
add allow-fast-path=yes connect-to=nl-free-06.protonvpn.com name=l2tp-out1 profile=default use-ipsec=yes user=user_name

Но подключение l2tp установить не удается, в логе
initiate new phase 1 (Identity Protection): x.x.x.x[500]<=>46.166.182.31[500]
ISAKMP-SA deleted x.x.x.x[500]-46.166.182.69[500] spi:bfc09b877be2dffe:0000000000000000 rekey:1
Если просмотреть лог "ipsec, debug", вижу
46.166.182.31 notify: NO-PROPOSAL-CHOSEN

Может быть, кто-то подскажет, где-то что-то делаю не так, но не понимаю, что?

[Erik_U]

А точно должно работать?

они про себя пишут
https://protonvpn.com/ru/secure-vpn/

У ProtonVPN нет серверов, поддерживающих PPTP и L2TP/IPSec

Там точно L2TP нужно настраивать?

[Avnn]

Да, уважаемый Erik_U, Вы правы.
Там чистый IKEv2, последние две строчки (где l2tp-client) - лишние. Убираю
Но, тогда остается вопрос - где-то, что-то не доделываю, делаю

Код: Выделить всё

/ip ipsec active-peers print

и ничего...
Сертификат ProtonVPN'овский импортирован (первым делом).
Где что не сделал?

[Erik_U]

Вы дали ссылку на инструкцию по настройке этого внп на микротике. В ней 10 пунктов.
Вы делаете (ну или показываете как делаете) только один 6-ой пункт.
Видимо где-то в этих 9 не показанных у вас ошибка.

[Avnn]

В инструкции, конечно, 10 пунктов, но, поскольку проблема возникает на п. 6, видимо, пункты 7-10 на этом этапе неинтересны.
Далее, пункты 1-3 - это подключится к Mikrotik'у, скачать файлы и получить учетные данные для Proton VPN. Из этого Вас, уважаемый Erik_U, простите, что-то интересует?! По пунктам 4 и 5 выше отмечал, что сертификат импортировал и правило маркировки трафика создал.
Поскольку проблема, в меру моего разумения, возникла именно на 6-м пункте инструкции, я и обратил внимание на него.
Спасибо, уважаемый Erik_U, за уделенное время. К сожалению, Ваши комментарии были бесполезны.
По существу вопроса. Проблема была в созданном peer'е

Код: Выделить всё

/ip ipsec peer
add address=nl-free-06.protonvpn.com exchange-mode=ike2 name="ProtonVPN server" port=1194 profile="ProtonVPN profile"

.
Моя ошибка - указание порта port=1194 (номер порта позаимствовал из файла с настройками для OpenVPN). После удаления порта все заработало.
Вопрос решен.

[Serge_Grenier]

Прошу помощи с настройкой данного VPN. У меня все время выдает ошибку:

Код: Выделить всё

ipsec,error peer's ID does not match certificate

Все настройки в разделе IPsec выполнил по инструкции отсюда, но маркировку трафика делаю таким образом, чтобы у меня не весь трафик из локальной сети перенаправляется через VPN, а только для определенных внешних адресов. Имеет ли последний пункт значение для того, чтобы просто поднялось подключение?

Роутер используется в обычном режиме, т.е. раздает интернет, который получает от провайдера "Билайн" по IPoE, поэтому никаких "особенных" настроек на нем нет.

[vitlab]

Привет.
Уже несколько дней бьюсь с настройкой
https://protonvpn.com/support/vpn-mikrotik-router/
нет соединения хоть убей.
Пробовал и на 7.3.1 и на 6.49.6
Может кто помочь?

[vimaret]

У меня заработало когда вместо IP адреса в настройках Пира подставил доменное имя сервера. IP получился отличный от того, который в конфиг файле приведен, да и порты тоже. Короче получилось UDP 4500. Не знаю почему так, но мне не удалось ни порт поменять, ни пртокол на TCP. Может быть кто-нибудь еще отпишет здесь, как это сделать.

Если это не заработает, то попробуйте еще заменить в Identity: generate-policy=port-override.
Если и это не поможет, то на Линухе настройте подключение через OpenVPN (Не Proton VPV Linux app!!!) по инструкции:
https://protonvpn.com/support/linux-openvpn/
Добейтесь подключения по UDP, а потом уже настраивайте на Микроте. У меня например были проблемы с подключением через Ростелеком, пришлось вначале через Транстелеком настроить. А потом еще и оказалось, что разные Протоновские сервера работают по разному. К некоторым не удалось поключиться вообще. Т.е. вначале нужно получить нормальное, устойчивое поключение на Линухе. Там это на два порядка проще, а потом уже на Микрот переходить, используя аналогии с Линуха.

[vimaret]

Еще рекомендую в /ip ipsec mode-config add connection-mark=under_protonvpn name="Proton VPN mode config" responder=no
добавить use-responder-dns=yes
Тогда у вас DNS будет заданый Протоном, а иначе Российский получается.