Jump to content
Калькуляторы

Подключение клиента Win7 к L2TP серверу..

Помогите разобраться с часто возникающей проблемой - ошибка при подключении клиента серверу ( 6.42.6 )...вот лог:

 

22:57:49 ipsec,info respond new phase 1 (Identity Protection): ХХХ.200.107.246[500]<=>ХХХ.62.118.167[500] 
22:57:49 ipsec,info ISAKMP-SA established ХХХ.200.107.246[4500]-ХХХ.62.118.167[4500] spi:036876e69e5ec94f:62f472e60288d1f3 
22:57:49 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. 
22:57:51 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. 
22:57:53 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. 
 

Разные варианты настройки покопал в сети, попробовал рекомендации - нет результата.

Хочется понять, с чего все-таки начинать и какими шагами двигаться...

Share this post


Link to post
Share on other sites

@Startnik 

Обычно нет с этим проблем, на дефолтовых настройках микротика должно работать.

 

Если виндовс клиент за NAT, ключ AssumeUDPEncapsulationContextOnSendRule в реестр прописать надо и все.

 

 

Edited by McSea

Share this post


Link to post
Share on other sites

Вот обрезанный export, что касается VPN

[admin@MikroTik] > export

/ip ipsec peer profile
set [ find default=yes ] dh-group=modp1024
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,3des
/ip pool
/ppp profile
set *FFFFFFFE bridge=bridge local-address=vpn_client only-one=no remote-address=\
    vpn_client
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=123456789 use-ipsec=yes
/interface pptp-server server
set authentication=mschap2 enabled=yes
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp passive=yes secret=123456789
 

 

image.png

 

 

 

image.thumb.png.b18acb3e87347f1b9a70f899f9422afe.png

Edited by Startnik

Share this post


Link to post
Share on other sites
6 hours ago, McSea said:

@Startnik 

Обычно нет с этим проблем, на дефолтовых настройках микротика должно работать.

 

Если виндовс клиент за NAT, ключ AssumeUDPEncapsulationContextOnSendRule в реестр прописать надо и все.

 

 

 

Это же вроде делается тогда, когда сервер за NAT?

Share this post


Link to post
Share on other sites

Как бы тему перенести в правильный раздел ? по ошибке создал в mikrotik wireless...

Share this post


Link to post
Share on other sites
6 hours ago, Startnik said:

Это же вроде делается тогда, когда сервер за NAT?

Когда клиент тоже нужно, в этом случае также UDP энкапсуляция используется. 

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]

"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

 

Share this post


Link to post
Share on other sites

@Startnik 

Проверил, к микротику клиент виндовс 10 подлючается и без этого ключа и с ним, а вот к RRAS без ключа не подключается.

С вашими настройками у меня работает (RoS 6.42.11), хотя по дефолту proposal отличается:

Quote

[admin@MikroTik] > /ip ipsec proposal print 
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024 
 

Проверить бы подключение по локалке...

Edited by McSea

Share this post


Link to post
Share on other sites

Дома к своему микротику я подключаюсь без проблем...

А что хоть эта ошибка "фазы 2" физически означает ?

Share this post


Link to post
Share on other sites

@Startnik 

Ошибка препроцессинга пакета второй фазы, а причины разные могут быть. 

 

 

Покажите еще "/ip ipsec export verbose", выше в экспорте не видно части настроек, policy и policy group нет вообще.

Edited by McSea

Share this post


Link to post
Share on other sites

[admin@MikroTik] > /ip ipsec export verbose
# jan/27/2019 23:45:11 by RouterOS 6.43.8
# software id = PIH1-DBTX
#
# model = 951G-2HnD
# serial number = 8A70085D84B6
/ip ipsec mode-config
set [ find default=yes ] name=request-only responder=no
/ip ipsec peer profile
set [ find default=yes ] dh-group=modp1024 dpd-interval=2m dpd-maximum-failures=5 \
    enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \
    nat-traversal=yes proposal-check=obey
/ip ipsec policy group
set [ find default=yes ] name=default
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\
    aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024
/ip ipsec peer
# Unsafe configuration, suggestion to use certificates
add address=0.0.0.0/0 auth-method=pre-shared-key disabled=no exchange-mode=\
    main-l2tp generate-policy=port-strict passive=yes policy-template-group=default \
    profile=default secret=123456789 send-initial-contact=yes
/ip ipsec policy
set 0 disabled=no dst-address=::/0 proposal=default protocol=all src-address=::/0 \
    template=yes
/ip ipsec user settings
set xauth-use-radius=no
[admin@MikroTik] > 

Share this post


Link to post
Share on other sites

@Startnik 

В темплейте полиси у вас нет группы. Должно быть так:

 

/ip ipsec policy
set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes

Если в винбоксе она есть, попробуйте через терминал прописать. 

Edited by McSea

Share this post


Link to post
Share on other sites

@McSea Просто браво...

Конечно в винбоксе она была, более того, по неким рекомендациям я создавал другую и ее указывал....

После создания через терминал все стало замечательно подключаться. Спасибо огромное.

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this