Не поднимается IPSec туннель

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
sarge
Сообщения: 23
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

Здравствуйте коллеги,
Есть центральный Mikrotik CCR1016(6.42) XX.XXX.XX.XX и клиентский Mikrotik hAP lite(6.46) YY.YYY.YY.YY
Понадобилось прицепить к существующей VPN сети, еще одну подсеть.
Ну, чего там, это не первый клиент к основной сети, трудностей быть не должно.
Прописал все по шаблону...
Поднимаю IPSec - не поднялся :-( Стопор на Phase 2.
В логах на центральном роутере:
22:14:33 ipsec,error YY.YYY.YY.YY failed to pre-process ph2 packet.
22:14:35 ipsec,error YY.YYY.YY.YY peer sent packet for dead phase2
22:14:37 ipsec,error YY.YYY.YY.YY peer sent packet for dead phase2
22:14:39 ipsec,error YY.YYY.YY.YY peer sent packet for dead phase2

После долгих мудрствований и копания в правилах, решил включить дебаг IPSEC на клиентском микроте:
И тут:
MikroTik] >
(90 messages discarded)
22:16:05 echo: ipsec,debug,packet IPSEC: HASH with:
22:16:05 echo: ipsec,debug,packet IPSEC: a9c39377 0000000c 00100001 0100000e
22:16:05 echo: ipsec,debug,packet IPSEC: hmac(hmac_sha1)
22:16:05 echo: ipsec,debug,packet IPSEC: HASH computed:
22:16:05 echo: ipsec,debug,packet IPSEC: bfc62501 5ea25fed 64849a4a 2ecb45aa 37c5c863
22:16:05 echo: ipsec,debug IPSEC: hash validated.
22:16:05 echo: ipsec,debug IPSEC: begin.
22:16:05 echo: ipsec,debug IPSEC: seen nptype=8(hash) len=24
22:16:05 echo: ipsec,debug IPSEC: seen nptype=11(notify) len=12
22:16:05 echo: ipsec,debug IPSEC: succeed.
22:16:05 echo: ipsec,debug IPSEC: XX.XXX.XX.XX notify: NO-PROPOSAL-CHOSEN
22:16:05 echo: ipsec IPSEC: XX.XXX.XX.XX fatal NO-PROPOSAL-CHOSEN notify messsage, phase1 should be deleted.


Ну думаю, конечно же мой косяк, лезу сравнивать IPSEC - Proposals на обоих микротах:

Сервер:
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=PROPOSAL-IPSEC-MAIN pfs-group=none

Клиент:
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=PROPOSAL-IPSEC-MAIN pfs-group=none

Различий нет, куда копать непонятно.
Может быть дело в различиях прошивки на центральном 6.42.3 и клиентском 6.46 роутерах?
Или, может на клиенте поднят еще l2tp, он мешает?
Может сталкивался кто с таким, подскажите пожалуйста?


Вернуться к началу
Аватара пользователя
sarge
Сообщения: 23
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

Перекурив мануалы, почитав выдачу гугла по запросу no-proposal-chosen начал экспериментировать.
Рабочая конфигурация получилась такой:

Сервер:
/ip ipsec peer print
address=YY.YYY.YY.YY/32 local-address=ХХ.ХХХ.ХХ.ХХ auth-method=pre-shared-key
secret="ПАРОЛЬ" generate-policy=port-strict policy-template-group=default
exchange-mode=main send-initial-contact=yes nat-traversal=no
proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128
dh-group=modp2048,modp1024 lifetime=1d dpd-interval=disable-dpd

Клиентский роутер:
MikroTik] > ip ipsec peer print
Flags: X - disabled, D - dynamic, R - responder
0 name="DC" address=ХХ.ХХХ.ХХ.ХХ/32 local-address=YY.YYY.YY.YY profile=default
exchange-mode=main send-initial-contact=yes
/ip ipsec policy
add dst-address=ХХ.ХХХ.ХХ.ХХ/32 ipsec-protocols=ah peer=DC proposal=PROPOSAL-IPSEC-MAIN \
protocol=gre sa-dst-address=ХХ.ХХХ.ХХ.ХХ sa-src-address=YY.YYY.YY.YY src-address=\
YY.YYY.YY.YY/32 tunnel=yes

Т.е. на клиенте в протоколах я поставил ah вместо esp, а на сервере отключил dpd и позволил формировать policy автоматически.
В результате, туннель поднялся, а на центральном роутере появилась диинамическая policy от клиента.

Если я что-то сделал не так, прошу откомментировать.

P.S. Очень надеюсь, что этот пост будет кому-то полезен, ибо времени и нервов у меня, данная проблема отожрала немало.


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»