Startnik Posted January 25, 2019 · Report post Помогите разобраться с часто возникающей проблемой - ошибка при подключении клиента серверу ( 6.42.6 )...вот лог: 22:57:49 ipsec,info respond new phase 1 (Identity Protection): ХХХ.200.107.246[500]<=>ХХХ.62.118.167[500] 22:57:49 ipsec,info ISAKMP-SA established ХХХ.200.107.246[4500]-ХХХ.62.118.167[4500] spi:036876e69e5ec94f:62f472e60288d1f3 22:57:49 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. 22:57:51 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. 22:57:53 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. Разные варианты настройки покопал в сети, попробовал рекомендации - нет результата. Хочется понять, с чего все-таки начинать и какими шагами двигаться... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 26, 2019 (edited) · Report post @Startnik Обычно нет с этим проблем, на дефолтовых настройках микротика должно работать. Если виндовс клиент за NAT, ключ AssumeUDPEncapsulationContextOnSendRule в реестр прописать надо и все. Edited January 26, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted January 26, 2019 · Report post @Startnik Покажите настройки IpSec proposal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted January 26, 2019 (edited) · Report post Вот обрезанный export, что касается VPN [admin@MikroTik] > export /ip ipsec peer profile set [ find default=yes ] dh-group=modp1024 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,3des /ip pool /ppp profile set *FFFFFFFE bridge=bridge local-address=vpn_client only-one=no remote-address=\ vpn_client /interface l2tp-server server set authentication=mschap2 enabled=yes ipsec-secret=123456789 use-ipsec=yes /interface pptp-server server set authentication=mschap2 enabled=yes /ip ipsec peer add address=0.0.0.0/0 exchange-mode=main-l2tp passive=yes secret=123456789 Edited January 26, 2019 by Startnik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted January 26, 2019 · Report post 6 hours ago, McSea said: @Startnik Обычно нет с этим проблем, на дефолтовых настройках микротика должно работать. Если виндовс клиент за NAT, ключ AssumeUDPEncapsulationContextOnSendRule в реестр прописать надо и все. Это же вроде делается тогда, когда сервер за NAT? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted January 26, 2019 · Report post Как бы тему перенести в правильный раздел ? по ошибке создал в mikrotik wireless... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 26, 2019 · Report post 6 hours ago, Startnik said: Это же вроде делается тогда, когда сервер за NAT? Когда клиент тоже нужно, в этом случае также UDP энкапсуляция используется. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent] "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted January 26, 2019 · Report post @McSea Не помогает.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 26, 2019 (edited) · Report post @Startnik Проверил, к микротику клиент виндовс 10 подлючается и без этого ключа и с ним, а вот к RRAS без ключа не подключается. С вашими настройками у меня работает (RoS 6.42.11), хотя по дефолту proposal отличается: Quote [admin@MikroTik] > /ip ipsec proposal print Flags: X - disabled, * - default 0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024 Проверить бы подключение по локалке... Edited January 26, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted January 27, 2019 · Report post Дома к своему микротику я подключаюсь без проблем... А что хоть эта ошибка "фазы 2" физически означает ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 27, 2019 (edited) · Report post @Startnik Ошибка препроцессинга пакета второй фазы, а причины разные могут быть. Покажите еще "/ip ipsec export verbose", выше в экспорте не видно части настроек, policy и policy group нет вообще. Edited January 27, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted January 27, 2019 · Report post [admin@MikroTik] > /ip ipsec export verbose # jan/27/2019 23:45:11 by RouterOS 6.43.8 # software id = PIH1-DBTX # # model = 951G-2HnD # serial number = 8A70085D84B6 /ip ipsec mode-config set [ find default=yes ] name=request-only responder=no /ip ipsec peer profile set [ find default=yes ] dh-group=modp1024 dpd-interval=2m dpd-maximum-failures=5 \ enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \ nat-traversal=yes proposal-check=obey /ip ipsec policy group set [ find default=yes ] name=default /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\ aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer # Unsafe configuration, suggestion to use certificates add address=0.0.0.0/0 auth-method=pre-shared-key disabled=no exchange-mode=\ main-l2tp generate-policy=port-strict passive=yes policy-template-group=default \ profile=default secret=123456789 send-initial-contact=yes /ip ipsec policy set 0 disabled=no dst-address=::/0 proposal=default protocol=all src-address=::/0 \ template=yes /ip ipsec user settings set xauth-use-radius=no [admin@MikroTik] > Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 28, 2019 (edited) · Report post @Startnik В темплейте полиси у вас нет группы. Должно быть так: /ip ipsec policy set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes Если в винбоксе она есть, попробуйте через терминал прописать. Edited January 28, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted January 28, 2019 · Report post @McSea Просто браво... Конечно в винбоксе она была, более того, по неким рекомендациям я создавал другую и ее указывал.... После создания через терминал все стало замечательно подключаться. Спасибо огромное. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...