Ошибка при поднятии IpSec

Обсуждение ПО и его настройки
Ответить
alex-man-91
Сообщения: 7
Зарегистрирован: 22 апр 2015, 09:24

Добрый день. Пытаюсь поднять IpSec, но выдает вот такую ошибку
Изображение
В чем может быть проблема?


Rusx123
Сообщения: 13
Зарегистрирован: 13 май 2015, 12:16

Phase 1 - The peers agree upon algorithms they will use in the following IKE messages and authenticate. The keying material used to derive keys for all SAs and to protect following ISAKMP exchanges between hosts is generated also. This phase should match following settings:
authentication method
DH group
encryption algorithm
exchange mode
hash alorithm
NAT-T
DPD and lifetime (optional)


а так, конфиги пиров бы глянуть с двух сторон...


alex-man-91
Сообщения: 7
Зарегистрирован: 22 апр 2015, 09:24

выкладываю конфигурацию IpSec.
 1 микротик
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des \
lifetime=30m name=default pfs-group=modp2048
/ip firewall nat
add action=accept chain=srcnat disabled=no dst-address=192.168.2.0/24 \
src-address=192.168.1.0/24
add action=accept chain=srcnat disabled=no dst-address=192.168.3.0/24 \
src-address=192.168.1.0/24
add action=masquerade chain=srcnat disabled=no src-address=192.168.1.0/24
/ip ipsec peer
add address=212.33.248.119/32 auth-method=pre-shared-key dh-group=modp2048 \
disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des \
exchange-mode=aggressive generate-policy=no hash-algorithm=sha1 \
lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 \
proposal-check=obey secret=\
i9Qs2CdN0Viq3PlmctBoz82G8DXbZX16q4wF8r50hDmR6GCDfmPy9PFB58mK \
send-initial-contact=yes
add address=91.144.172.177/32 auth-method=pre-shared-key dh-group=modp2048 \
disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des \
exchange-mode=main generate-policy=no hash-algorithm=sha1 lifebytes=0 \
lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=\
obey secret=njhy1979 send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=no dst-address=192.168.3.0/24 dst-port=any \
ipsec-protocols=esp level=require priority=0 proposal=default protocol=\
all sa-dst-address=212.33.248.119 sa-src-address=92.255.238.204 \
src-address=192.168.1.0/24 src-port=any tunnel=yes
add action=encrypt disabled=no dst-address=192.168.2.0/24 dst-port=any \
ipsec-protocols=esp level=require priority=0 proposal=default protocol=\
all sa-dst-address=91.144.172.177 sa-src-address=92.255.238.204 \
src-address=192.168.1.0/24 src-port=any tunnel=yes

 2 микротик
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des pfs-group=modp2048
/ip firewall nat
add chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat src-address=192.168.2.0/24
/ip ipsec peer
# Unsafe configuration, suggestion to use certificates
add address=92.255.238.204/32 dh-group=modp2048 enc-algorithm=3des \
exchange-mode=aggressive nat-traversal=no secret=njhy1979
/ip ipsec policy
set (unknown) dst-address=192.168.1.0/24 sa-dst-address=92.255.238.204 \
sa-src-address=91.144.172.177 src-address=192.168.2.0/24 tunnel=yes


Rusx123
Сообщения: 13
Зарегистрирован: 13 май 2015, 12:16

Вангую раные версии микротиков.

Микрот1 -5.хх
Микрот2-6.хх

На микроте 2
/ip ipsec export verbose.

и не закрыт ли 500 порт с одной из сторон?
Если правда ещё актуально :)


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

поднимал ipsec между 6.27 и 5.28, все работало, но вполне возможно в виде исключения.


Rusx123
Сообщения: 13
Зарегистрирован: 13 май 2015, 12:16

дело не не в совместимости.

6 - дает укороченный экспорт с параметрами отличными от дефолтных.
Поэтому видно не все.

А так - я бы посмотрел порты. time up - не удается ему установиться за определенное время.... почему - вопрос ....


Ответить