Упал L2TP

Обсуждение ПО и его настройки
Ответить
inet1442
Сообщения: 16
Зарегистрирован: 14 ноя 2017, 19:26

Всем привет. На 6.40.9 - Hap lite, был поднят L2TP+IP SEC, все нормально работало, после обновления на 6.43.1 - перестали подключаться клиенты. В логах микротика - "ipsec,error ***.**.***.*** failed to pre-process ph2 packet ". На Виндовском клиенте - "Ошибка 789". Так же, в Peers, стало светиться красным - "unsafe configuration suggestion to use certificates". Скрин прилагаю. У кого есть такое и как побороть?
Всем спасибо.
Вложения
mikrotik.jpg
(148.68 КБ) 0 скачиваний


vbsev
Сообщения: 84
Зарегистрирован: 19 авг 2018, 09:35

Настраивал l2tp на 951G на 6.43. Без сертификатов, обычным IPsec Secret.
Win10 подключается. Больше пока нечем проверить.
Обновил до 6.43.2 - подключается, в peer такое же сообщение о необходимости использовать сертификат.


inet1442
Сообщения: 16
Зарегистрирован: 14 ноя 2017, 19:26

vbsev писал(а): 21 сен 2018, 13:19 Настраивал l2tp на 951G на 6.43. Без сертификатов, обычным IPsec Secret.
Win10 подключается. Больше пока нечем проверить.
Обновил до 6.43.2 - подключается, в peer такое же сообщение о необходимости использовать сертификат.
Может у Hap Lite только такая проблема?


vbsev
Сообщения: 84
Зарегистрирован: 19 авг 2018, 09:35

inet1442 писал(а): 21 сен 2018, 13:34 Может у Hap Lite только такая проблема?
Очень сильно сомневаюсь. А в логах микротика или в системе клиента ещё что-нибудь пишется? Что б хоть понять от чего отталкиваться.

А если не использовать ipsec - подключается клиент?


inet1442
Сообщения: 16
Зарегистрирован: 14 ноя 2017, 19:26

vbsev писал(а): 21 сен 2018, 14:02
inet1442 писал(а): 21 сен 2018, 13:34 Может у Hap Lite только такая проблема?
Очень сильно сомневаюсь. А в логах микротика или в системе клиента ещё что-нибудь пишется? Что б хоть понять от чего отталкиваться.

А если не использовать ipsec - подключается клиент?
Без IP сека такая же песня.


inet1442
Сообщения: 16
Зарегистрирован: 14 ноя 2017, 19:26

inet1442 писал(а): 21 сен 2018, 14:19
vbsev писал(а): 21 сен 2018, 14:02
inet1442 писал(а): 21 сен 2018, 13:34 Может у Hap Lite только такая проблема?
Очень сильно сомневаюсь. А в логах микротика или в системе клиента ещё что-нибудь пишется? Что б хоть понять от чего отталкиваться.

А если не использовать ipsec - подключается клиент?
Без IP сека такая же песня.
Извиняюсь, без IP Sec - нормально цепляется клиент.


inet1442
Сообщения: 16
Зарегистрирован: 14 ноя 2017, 19:26

vbsev писал(а): 21 сен 2018, 14:02
inet1442 писал(а): 21 сен 2018, 13:34 Может у Hap Lite только такая проблема?
Очень сильно сомневаюсь. А в логах микротика или в системе клиента ещё что-нибудь пишется? Что б хоть понять от чего отталкиваться.

А если не использовать ipsec - подключается клиент?
Лог сделал, без шифрования, чисто L2TP - работает норм.


20:28:00 ipsec,error ***.**.***.*** failed to pre-process ph2 packet.
20:28:00 ipsec,debug compute IV for phase2
20:28:00 ipsec,debug phase1 last IV:
20:28:00 ipsec,debug bd8b378b d15d6316 dd21b089
20:28:00 ipsec,debug hash(sha1)
20:28:00 ipsec,debug encryption(3des)
20:28:00 ipsec,debug phase2 IV computed:
20:28:00 ipsec,debug 6d9e7ae7 b4a02ef5
20:28:00 ipsec,debug HASH with:
20:28:00 ipsec,debug dd21b089 0000000c 00000001 0100000e
20:28:00 ipsec,debug hmac(hmac_sha1)
20:28:00 ipsec,debug HASH computed:
20:28:00 ipsec,debug e5d11024 9575d8c6 fb763a55 0a6014c1 3dfb92ac
20:28:00 ipsec,debug begin encryption.
20:28:00 ipsec,debug encryption(3des)
20:28:00 ipsec,debug pad length = 4
20:28:00 ipsec,debug 0b000018 e5d11024 9575d8c6 fb763a55 0a6014c1 3dfb92ac 0000000
c 00000001
20:28:00 ipsec,debug 0100000e 96cc2003
20:28:00 ipsec,debug encryption(3des)
20:28:00 ipsec,debug with key:
20:28:00 ipsec,debug 396de1f6 520bca00 44124a34 f00db834 26da193b 64fa2fa3
20:28:00 ipsec,debug encrypted payload by IV:
20:28:00 ipsec,debug 6d9e7ae7 b4a02ef5
20:28:00 ipsec,debug save IV for next:
20:28:00 ipsec,debug d72dc11e f08599e8
20:28:00 ipsec,debug encrypted.
20:28:00 ipsec,debug 68 bytes from ***.**.***.**[4500] to ***.**.***.***[1302]
20:28:00 ipsec,debug 1 times of 72 bytes message will be sent to ***.**.***.***[13
02]
20:28:00 ipsec,debug,packet 19e0d3e0 3818ff56 b29cadaf 68e3ff7c 08100501 dd21b089
00000044 9312e5d5
20:28:00 ipsec,debug,packet f5674c69 c232df54 a0f7bbb2 c983b735 fee4fb1b 93f29e2e
7d9a0f4b d72dc11e
20:28:00 ipsec,debug,packet f08599e8
20:28:00 ipsec,debug sendto Information notify.
20:28:00 ipsec,debug KA: ***.**.***.**[4500]->***.**.***.***[1302]
20:28:00 ipsec,debug 1 times of 1 bytes message will be sent to ***.**.***.***[130
2]
20:28:00 ipsec,debug,packet ff
20:28:02 ipsec,debug ===== received 332 bytes from ***.**.***.***[1302] to ***.**.
***.**[4500]
20:28:02 ipsec,debug,packet 19e0d3e0 3818ff56 b29cadaf 68e3ff7c 08102001 00000001
0000014c a2f32e6d
20:28:02 ipsec,debug,packet 25b2b82f 312fcd20 a5443385 ffe98a8c 3b7e77b4 97686a9d
8b70b69f 30e2886c
20:28:02 ipsec,debug,packet da3635a3 1101a532 3ec7132f eb4f54de 99c19172 cfec469f
74c2dc4a 53c93539
20:28:02 ipsec,debug,packet 0e6664f4 2cab734f 4c31b983 8e2884dc 8007335b 770119f9
c2d6478c cbb9bd59
20:28:02 ipsec,debug,packet e1cf3436 27c7123b d26fc69a 79563f0f 395c291f 64036b5b
59727548 ee504652
20:28:02 ipsec,debug,packet ef457509 e741ff84 ec12948e b80da1d3 49abd14a e826b2fe
69a92c60 a3351da4
20:28:02 ipsec,debug,packet 0aaa9a08 043013c7 44f75643 fcbcc016 8243c005 a64ee1e3
005b9edf 82f9799d
20:28:02 ipsec,debug,packet 0fa77da3 12643d2b 2d515b78 275c9aa7 0b96d363 38c3beb5
b48ed153 f10d6f3a
20:28:02 ipsec,debug,packet 4d2e9d3b 0ff9f042 7869141c 3539d31d 3b3e5357 8593c715
be9c9c40 e56e5995
20:28:02 ipsec,debug,packet b588bf1a dabc8806 857e978b 9c1af8f4 b64307ff 46e27f2a
d7d06dbd 1a95eeaf
20:28:02 ipsec,debug,packet 9d3c77c3 f3d368e1 d34dc595
20:28:02 ipsec,debug compute IV for phase2
20:28:02 ipsec,debug phase1 last IV:
20:28:02 ipsec,debug bd8b378b d15d6316 00000001
20:28:02 ipsec,debug hash(sha1)
20:28:02 ipsec,debug encryption(3des)
20:28:02 ipsec,debug phase2 IV computed:
20:28:02 ipsec,debug 17a66a29 fb77ce10
20:28:02 ipsec,debug ===
20:28:02 ipsec respond new phase 2 negotiation: ***.**.***.**[4500]<=>**.**.***.***[1302]
20:28:02 ipsec,debug encryption(3des)
20:28:02 ipsec,debug IV was saved for next processing:
20:28:02 ipsec,debug f3d368e1 d34dc595
20:28:02 ipsec,debug encryption(3des)
20:28:02 ipsec,debug with key:
20:28:02 ipsec,debug 396de1f6 520bca00 44124a34 f00db834 26da193b 64fa2fa3
20:28:02 ipsec,debug decrypted payload by IV:
20:28:02 ipsec,debug 17a66a29 fb77ce10
20:28:02 ipsec,debug decrypted payload, but not trimed.
20:28:02 ipsec,debug 01000018 42b35e84 33d256eb 6b8ad412 36a37846 f801fe7d 0a0000a
c 00000001
20:28:02 ipsec,debug 00000001 02000038 01030401 0f77079c 0000002c 010c0000 8004000
4 80060080
20:28:02 ipsec,debug 80050002 80010001 00020004 00000e10 80010002 00020004 0003d09
0 02000034
20:28:02 ipsec,debug 02030401 0f77079c 00000028 01030000 80040004 80050002 8001000
1 00020004
20:28:02 ipsec,debug 00000e10 80010002 00020004 0003d090 00000034 03030401 0f77079
c 00000028
20:28:02 ipsec,debug 01020000 80040004 80050002 80010001 00020004 00000e10 8001000
2 00020004
20:28:02 ipsec,debug 0003d090 05000034 e48d088d 86718ab9 cb59227c 17b59258 d5859b4
9 424978c8
20:28:02 ipsec,debug 4009480d 5a948860 c1c5a378 81e9e986 e5b9ff8f 84df848f 0500000
c 011106a5
20:28:02 ipsec,debug c0a80014 1500000c 011106a5 b22ea753 1500000c 01000000 c0a8001
4 0000000c
20:28:02 ipsec,debug 01000000 b22ea753 00000000 00000000
20:28:02 ipsec,debug padding len=1
20:28:02 ipsec,debug skip to trim padding.
20:28:02 ipsec,debug decrypted.
20:28:02 ipsec,debug 19e0d3e0 3818ff56 b29cadaf 68e3ff7c 08102001 00000001 0000014
c 01000018
20:28:02 ipsec,debug 42b35e84 33d256eb 6b8ad412 36a37846 f801fe7d 0a0000ac 0000000
1 00000001
20:28:02 ipsec,debug 02000038 01030401 0f77079c 0000002c 010c0000 80040004 8006008
0 80050002
20:28:02 ipsec,debug 80010001 00020004 00000e10 80010002 00020004 0003d090 0200003
4 02030401
20:28:02 ipsec,debug 0f77079c 00000028 01030000 80040004 80050002 80010001 0002000
4 00000e10
20:28:02 ipsec,debug 80010002 00020004 0003d090 00000034 03030401 0f77079c 0000002
8 01020000
20:28:02 ipsec,debug 80040004 80050002 80010001 00020004 00000e10 80010002 0002000
4 0003d090
20:28:02 ipsec,debug 05000034 e48d088d 86718ab9 cb59227c 17b59258 d5859b49 424978c
8 4009480d
20:28:02 ipsec,debug 5a948860 c1c5a378 81e9e986 e5b9ff8f 84df848f 0500000c 011106a
5 c0a80014
20:28:02 ipsec,debug 1500000c 011106a5 b22ea753 1500000c 01000000 c0a80014 0000000
c 01000000
20:28:02 ipsec,debug b22ea753 00000000 00000000
20:28:02 ipsec,debug begin.
20:28:02 ipsec,debug seen nptype=8(hash) len=24
20:28:02 ipsec,debug seen nptype=1(sa) len=172
20:28:02 ipsec,debug seen nptype=10(nonce) len=52
20:28:02 ipsec,debug seen nptype=5(id) len=12
20:28:02 ipsec,debug seen nptype=5(id) len=12
20:28:02 ipsec,debug seen nptype=21(nat-oa) len=12
20:28:02 ipsec,debug seen nptype=21(nat-oa) len=12
20:28:02 ipsec,debug succeed.
20:28:02 ipsec,debug received IDci2:
20:28:02 ipsec,debug 011106a5 c0a80014
20:28:02 ipsec,debug received IDcr2:
20:28:02 ipsec,debug 011106a5 b22ea753
20:28:02 ipsec,debug HASH(1) validate:
20:28:02 ipsec,debug 42b35e84 33d256eb 6b8ad412 36a37846 f801fe7d
20:28:02 ipsec,debug HASH with:
20:28:02 ipsec,debug 00000001 0a0000ac 00000001 00000001 02000038 01030401 0f77079
c 0000002c
20:28:02 ipsec,debug 010c0000 80040004 80060080 80050002 80010001 00020004 00000e1
0 80010002
20:28:02 ipsec,debug 00020004 0003d090 02000034 02030401 0f77079c 00000028 0103000
0 80040004
20:28:02 ipsec,debug 80050002 80010001 00020004 00000e10 80010002 00020004 0003d09
0 00000034
20:28:02 ipsec,debug 03030401 0f77079c 00000028 01020000 80040004 80050002 8001000
1 00020004
20:28:02 ipsec,debug 00000e10 80010002 00020004 0003d090 05000034 e48d088d 86718ab
9 cb59227c
20:28:02 ipsec,debug 17b59258 d5859b49 424978c8 4009480d 5a948860 c1c5a378 81e9e98
6 e5b9ff8f
20:28:02 ipsec,debug 84df848f 0500000c 011106a5 c0a80014 1500000c 011106a5 b22ea75
3 1500000c
20:28:02 ipsec,debug 01000000 c0a80014 0000000c 01000000 b22ea753
20:28:02 ipsec,debug hmac(hmac_sha1)
20:28:02 ipsec,debug HASH computed:
20:28:02 ipsec,debug 42b35e84 33d256eb 6b8ad412 36a37846 f801fe7d
20:28:02 ipsec,debug total SA len=168
20:28:02 ipsec,debug 00000001 00000001 02000038 01030401 0f77079c 0000002c 010c000
0 80040004
20:28:02 ipsec,debug 80060080 80050002 80010001 00020004 00000e10 80010002 0002000
4 0003d090
20:28:02 ipsec,debug 02000034 02030401 0f77079c 00000028 01030000 80040004 8005000
2 80010001
20:28:02 ipsec,debug 00020004 00000e10 80010002 00020004 0003d090 00000034 0303040
1 0f77079c
20:28:02 ipsec,debug 00000028 01020000 80040004 80050002 80010001 00020004 00000e1
0 80010002
20:28:02 ipsec,debug 00020004 0003d090
20:28:02 ipsec,debug begin.
20:28:02 ipsec,debug seen nptype=2(prop) len=56
20:28:02 ipsec,debug seen nptype=2(prop) len=52
20:28:02 ipsec,debug seen nptype=2(prop) len=52
20:28:02 ipsec,debug succeed.
20:28:02 ipsec,debug proposal #1 len=56
20:28:02 ipsec,debug begin.
20:28:02 ipsec,debug seen nptype=3(trns) len=44
20:28:02 ipsec,debug succeed.
20:28:02 ipsec,debug transform #1 len=44
20:28:02 ipsec,debug type=Encryption Mode, flag=0x8000, lorv=UDP-Transport
20:28:02 ipsec,debug UDP encapsulation requested
20:28:02 ipsec,debug type=Key Length, flag=0x8000, lorv=128
20:28:02 ipsec,debug type=Authentication Algorithm, flag=0x8000, lorv=hmac-sha1
20:28:02 ipsec,debug type=SA Life Type, flag=0x8000, lorv=seconds
20:28:02 ipsec,debug type=SA Life Duration, flag=0x0000, lorv=4
20:28:02 ipsec,debug type=SA Life Type, flag=0x8000, lorv=kilobytes
20:28:02 ipsec,debug type=SA Life Duration, flag=0x0000, lorv=4
20:28:02 ipsec,debug proposal #2 len=52
20:28:02 ipsec,debug begin.
20:28:02 ipsec,debug seen nptype=3(trns) len=40
20:28:02 ipsec,debug succeed.
20:28:02 ipsec,debug transform #1 len=40
20:28:02 ipsec,debug type=Encryption Mode, flag=0x8000, lorv=UDP-Transport
20:28:02 ipsec,debug UDP encapsulation requested
20:28:02 ipsec,debug type=Authentication Algorithm, flag=0x8000, lorv=hmac-sha1
20:28:02 ipsec,debug type=SA Life Type, flag=0x8000, lorv=seconds
20:28:02 ipsec,debug type=SA Life Duration, flag=0x0000, lorv=4
20:28:02 ipsec,debug type=SA Life Type, flag=0x8000, lorv=kilobytes
20:28:02 ipsec,debug type=SA Life Duration, flag=0x0000, lorv=4
20:28:02 ipsec,debug proposal #3 len=52
20:28:02 ipsec,debug begin.
20:28:02 ipsec,debug seen nptype=3(trns) len=40
20:28:02 ipsec,debug succeed.
20:28:02 ipsec,debug transform #1 len=40
20:28:02 ipsec,debug type=Encryption Mode, flag=0x8000, lorv=UDP-Transport
20:28:02 ipsec,debug UDP encapsulation requested
20:28:02 ipsec,debug type=Authentication Algorithm, flag=0x8000, lorv=hmac-sha1
20:28:02 ipsec,debug type=SA Life Type, flag=0x8000, lorv=seconds
20:28:02 ipsec,debug type=SA Life Duration, flag=0x0000, lorv=4
20:28:02 ipsec,debug type=SA Life Type, flag=0x8000, lorv=kilobytes
20:28:02 ipsec,debug type=SA Life Duration, flag=0x0000, lorv=4
20:28:02 ipsec,debug pair 1:
20:28:02 ipsec,debug 0x48ba00: next=(nil) tnext=(nil)
20:28:02 ipsec,debug proposal #1: 1 transform
20:28:02 ipsec,debug pair 2:
20:28:02 ipsec,debug 0x48b630: next=(nil) tnext=(nil)
20:28:02 ipsec,debug proposal #2: 1 transform
20:28:02 ipsec,debug pair 3:
20:28:02 ipsec,debug 0x48bb80: next=(nil) tnext=(nil)
20:28:02 ipsec,debug proposal #3: 1 transform
20:28:02 ipsec,debug got the local address from ID payload ***.**.***.**[1701] pre
fixlen=32 ul_proto=17
20:28:02 ipsec,debug got the peer address from ID payload 192.168.0.20[1701] prefi
xlen=32 ul_proto=17
20:28:02 ipsec,debug updating policy address because of NAT in transport mode
20:28:02 ipsec,debug new peer address ***.**.***.***[1701]
20:28:02 ipsec searching for policy for selector: ***.**.***.**:1701 ip-proto:17 <
=> ***.**.***.***:1701 ip-proto:17
20:28:02 ipsec policy not found
20:28:02 ipsec failed to get proposal for responder.
20:28:02 ipsec,error ***.**.***.*** failed to pre-process ph2 packet.


inet1442
Сообщения: 16
Зарегистрирован: 14 ноя 2017, 19:26

Только у меня такая проблема? Или я один, поднимаю L2TP + IPSEC на Микротике? Гуру, Вы где все???


smerdov
Сообщения: 1
Зарегистрирован: 18 окт 2018, 18:06

Если еще актуально, то искать нужно тут, имхо ...
Сам имею приличное кол-во микротиков как с L2TP+IPSEC, так и с комбинацией L2TP+GRE+OSPF.
После обновлений проблем не наблюдал....
Изображение


Ответить