mmaerov Опубликовано 9 января, 2021 · Жалоба Добрый день, настроил ipsec ike2, по статейке, на клиенте, андроиде, strongSwan. Подключаюсь к серверу с использованием сертификатов, соединение устанавливается, адрес из локалки выдаю. Внутренние ресурсы недоступны. Конфиг сервера: ``` /ip ipsec mode-config add address-pool=pool_vpn_local name=IKEv2 static-dns=10.20.88.250 \ system-dns=no /ip ipsec policy group add name=IKEv2 /ip ipsec profile add name=IKEv2 /ip ipsec peer add exchange-mode=ike2 name=IKEv2 passive=yes profile=IKEv2 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,3des add name="IKEv2" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=non add name=IKEv2 pfs-group=none /ip ipsec identity add auth-method=digital-signature certificate=Home-Tik-SERVER \ generate-policy=port-strict mode-config=IKEv2 peer=IKEv2 \ policy-template-group=IKEv2 /ip ipsec policy set 0 dst-address=0.0.0.0/0 proposal="sha256 aes-128 cbc" src-address=\ 0.0.0.0/0 add dst-address=0.0.0.0/0 group=IKEv2 proposal=IKEv2 src-address=0.0.0.0/0 \ template=yes ``` Все настройки на клиенте, сертификат, домен. Посмотрите плиз, может увидите очевидную ошибку, три мануала уже пробовал, взлетает только на одном. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mmaerov Опубликовано 9 января, 2021 · Жалоба Админ, перенеси пожалуйста тему, куда следует. Не знаю, как меня так угораздило, прошу прощения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stepnoy2005 Опубликовано 3 февраля, 2021 · Жалоба приветствую, а ссылку на инструкцию можешь дать? я тоже сейчас разбираюсь, есть определенные проблемы, может по твоей инструкции найду что у меня не так в конфиге /interface bridge add name=bridge-loopback /interface ethernet set [ find default-name=ether1 ] disable-running-check=no /ip ipsec mode-config add address=10.242.0.2 address-prefix-length=32 name="modeconf PT-SERVER" split-include=10.242.0.0/24 static-dns=10.242.0.1 system-dns=no add address=10.242.0.3 address-prefix-length=32 name="modeconfig Admin" split-include=0.0.0.0/0 static-dns=10.242.0.1 system-dns=no add address=10.242.0.4 address-prefix-length=32 name="server-1C modeconfig" split-include=0.0.0.0/0 static-dns=10.242.0.1 system-dns=no add address=10.242.0.5 address-prefix-length=32 name="modeconfig Eremenko-Server" split-include=0.0.0.0/0 static-dns=10.242.0.1 system-dns=no add address=10.242.0.6 address-prefix-length=32 name="modeconfig Galaktika-Server" split-include=0.0.0.0/0 static-dns=10.242.0.1 system-dns=no /ip ipsec policy group add name="group vpn.Mysite.ru" /ip ipsec profile add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name="profile vpn.Mysite.ru" /ip ipsec peer add comment=10.129.0.27 exchange-mode=ike2 local-address=10.129.0.27 name="peer Mysite.ru" passive=yes profile="profile vpn.Mysite.ru" /ip ipsec proposal add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm lifetime=8h name="proposal Mysite.ru" pfs-group=none /ip pool add name="pool vpn.Mysite.ru" ranges=10.242.0.10-10.242.0.250 add name=pool1 ranges=10.242.0.2 add name=pool2 ranges=10.242.0.3 /ip ipsec mode-config add address-pool="pool vpn.Mysite.ru" address-prefix-length=32 name="modeconf vpn.Mysite.ru" split-include=10.242.0.0/24 static-dns=10.242.0.1 system-dns=no /ip neighbor discovery-settings set discover-interface-list=none /ip address add address=10.242.0.1/24 interface=bridge-loopback network=10.242.0.0 /ip dhcp-client add disabled=no interface=ether1 /ip dns set allow-remote-requests=yes servers=10.242.0.1 /ip firewall address-list add address=10.0.250.0/24 disabled=yes list=NAT add address=10.0.242.0/24 list=NAT add address=85.172.60.112 list=ALLOW add address=91.226.137.224 list=ALLOW add address=84.201.142.9 list=ALLOW add address=194.60.242.133 list=ALLOW add address=10.242.0.0/24 list=ALLOW /ip firewall filter add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp add action=accept chain=forward in-interface=ether1 ipsec-policy=in,ipsec add action=drop chain=input dst-address=10.129.0.27 dst-port=8291 protocol=tcp src-address-list=!ALLOW add action=drop chain=input dst-address=10.129.0.27 dst-port=53 protocol=tcp src-address-list=!NAT add action=drop chain=input dst-address=10.129.0.27 dst-port=53 protocol=udp src-address-list=!NAT /ip firewall nat add action=src-nat chain=srcnat comment="src-nat vpn user" ipsec-policy=out,none out-interface=ether1 src-address=10.242.0.0/24 to-addresses=10.129.0.27 /ip ipsec identity add auth-method=digital-signature certificate=vpn.Mysite.ru generate-policy=port-strict match-by=certificate mode-config="modeconf vpn.Mysite.ru" peer="peer Mysite.ru" policy-template-group="group vpn.Mysite.ru" remote-certificate=\ PT5@vpn.Mysite.ru remote-id=user-fqdn:PT5@vpn.Mysite.ru . . . . /ip ipsec policy add dst-address=10.242.0.0/24 group="group vpn.Mysite.ru" proposal="proposal Mysite.ru" src-address=0.0.0.0/0 template=yes у меня проблема в том что подключение раньше проходило за сек, а теперь с 10го раза но такая проблема только через оптоволокна, если я через мобильный то все нормально Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...