Jump to content
Калькуляторы

IKEv2 "no proposal chosen"

Столкнулся пока с нерешаемым моментом.

Настроен vpn на mikrotik CCR1016-12S-1S+.

Подключаюсь при помощи сертификата windows11. Все отлично подключается и через некоторое время, 2-3 минуты, особенно, если нет никакой активности, то в логах микроика появляется лог "no proposal chosen" и сети через vpn становятся недоступными, хотя сам vpn подключен. Переподключаюсь и все работает.

Кто нибудь сталкивался с подобным? Если да, то скажите какой конфиг выложить

Edited by Владимир320

Share this post


Link to post
Share on other sites

/interface bridge
add name=bridge_IKEv2 protocol-mode=none
add name=bridge_vpls_vlan53 protocol-mode=none
add name=bridge_vpls_vlan85 protocol-mode=none
add name=bridge_vpls_vlan210 protocol-mode=none
add name=bridge_vpls_vlan800 protocol-mode=none
add name=bridge_vpls_vlan907 protocol-mode=none
add disabled=yes name=bridge_vpls_vlan951 protocol-mode=none
add name=loopback protocol-mode=none
/interface vlan
add interface=sfpplus1 name=vlan53 vlan-id=53
add interface=sfpplus1 name=vlan82 vlan-id=82
add interface=sfpplus1 name=vlan85 vlan-id=85
add interface=sfpplus1 name=vlan210 vlan-id=210
add interface=sfp12 name=vlan701 vlan-id=701
add interface=sfpplus1 name=vlan800 vlan-id=800
add interface=sfpplus1 name=vlan907 vlan-id=907
add disabled=yes interface=sfpplus1 name=vlan951 vlan-id=951
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=IKEv2-policies
/ip ipsec profile
add dpd-interval=disable-dpd enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256 name=ikev2_ph1
/ip ipsec peer
add exchange-mode=ike2 name=ikev2_peer passive=yes profile=ikev2_ph1 send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] lifetime=1h
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-ctr,aes-128-gcm name=ikev2_ph2
/ip pool
add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20
/ip ipsec mode-config
add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24
/ppp profile
add name=profile_l2tp
/routing bgp instance
set default client-to-client-reflection=no router-id=172.17.254.110
/snmp community
set [ find default=yes ] addresses=172.16.9.35/32 name=publ
/certificate settings
set crl-use=yes
/interface bridge port
add bridge=bridge_vpls_vlan53 interface=vlan53
add bridge=bridge_vpls_vlan210 interface=vlan210
add bridge=bridge_vpls_vlan800 interface=vlan800
add bridge=bridge_vpls_vlan907 interface=vlan907
add bridge=bridge_vpls_vlan85 ingress-filtering=yes interface=vlan85
add bridge=bridge_vpls_vlan951 ingress-filtering=yes interface=vlan951
/ip firewall connection tracking
set tcp-established-timeout=30m
/ip neighbor discovery-settings
set discover-interface-list=none protocol=""
/ip settings
set tcp-syncookies=yes
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxx
/interface vpls bgp-vpls
add bridge=bridge_vpls_vlan53 bridge-horizon=5 export-route-targets=65530:53 import-route-targets=65530:53 name=vpls_53 route-distinguisher=65530:53 \
    site-id=50
add bridge=bridge_vpls_vlan210 bridge-horizon=5 export-route-targets=65530:210 import-route-targets=65530:210 name=vpls_210 route-distinguisher=\
    65530:210 site-id=110
add bridge=bridge_vpls_vlan800 bridge-horizon=5 export-route-targets=65530:800 import-route-targets=65530:800 name=vpls_800 route-distinguisher=\
    65530:800 site-id=50
add bridge=bridge_vpls_vlan907 bridge-horizon=5 export-route-targets=65530:907 import-route-targets=65530:907 name=vpls_907 route-distinguisher=\
    65530:907 site-id=906
add bridge=bridge_vpls_vlan85 bridge-horizon=5 export-route-targets=65530:85 import-route-targets=65530:85 name=vpls_85 route-distinguisher=65530:85 \
    site-id=50
add bridge=bridge_vpls_vlan951 bridge-horizon=5 disabled=yes export-route-targets=65530:951 import-route-targets=65530:951 name=vpls_951 \
    route-distinguisher=65530:951 site-id=50
/ip address
add address=192.168.88.1/24 comment=defconf interface=sfp1 network=192.168.88.0
add address=172.17.201.230/24 interface=vlan701 network=172.17.201.0
add address=172.17.250.133/30 interface=vlan82 network=172.17.250.132
add address=172.17.254.110 interface=loopback network=172.17.254.110
add address=xxx.xxx.xxx.xxx interface=vlan907 network=xxx.xxx.xxx.xxx
add address=172.17.59.1/24 interface=bridge_IKEv2 network=172.17.59.0
/ip firewall address-list
add address=172.17.52.0/24 list=allowed_net
add address=172.17.213.0/24 list=allowed_net
add address=192.168.88.0/24 list=allowed_net
add address=xxx.xxx.xxx.xxx list=allowed_net
add address=172.16.210.0/24 list=allowed_net
add address=xxx.xxx.xxx.xxx list=syn_allowed
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=jump chain=input connection-state=new in-interface=bridge_vpls_vlan907 jump-target="check syn" protocol=tcp tcp-flags=syn
add action=return chain="check syn" src-address-list=syn_allowed
add action=return chain="check syn" dst-limit=50,50,src-and-dst-addresses/1m40s
add action=add-src-to-address-list address-list=syn_block address-list-timeout=5m chain="check syn" log=yes
add action=jump chain=input dst-address=xxx.xxx.xxx.xxx jump-target=icmpknock protocol=icmp
add action=add-src-to-address-list address-list=icmp_stage1 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx
add action=add-src-to-address-list address-list=icmp_stage2 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx \
    src-address-list=icmp_stage1
add action=add-src-to-address-list address-list=allowed_net_world address-list-timeout=30m chain=icmpknock comment="packet size xx" log=yes packet-size=\
    xx src-address-list=icmp_stage2
add action=return chain=icmpknock
add action=accept chain=input dst-port=8291,80,22 protocol=tcp src-address-list=allowed_net
add action=accept chain=input dst-port=8291,22 protocol=tcp src-address-list=allowed_net_world
add action=drop chain=input dst-port=8291,80,22 protocol=tcp
add action=jump chain=input comment="packet size xx" dst-address=xxx.xxx.xxx.xxx in-interface=bridge_vpls_vlan907 jump-target=ikev2_knock packet-size=xx \
    protocol=icmp
add action=add-src-to-address-list address-list=ikev2_allowed address-list-timeout=2h chain=ikev2_knock log=yes
add action=accept chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp src-address-list=ikev2_allowed
add action=drop chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp
/ip firewall mangle
add action=sniff-tzsp chain=prerouting disabled=yes in-interface=vlan210 sniff-target=172.17.52.23 sniff-target-port=37008
/ip firewall nat
add action=src-nat chain=srcnat dst-address=10.1.216.0/24 out-interface=vlan82 src-address=172.17.59.0/24 to-addresses=172.17.201.230
/ip firewall raw
add action=drop chain=prerouting in-interface=bridge_vpls_vlan907 src-address-list=syn_block
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec identity
add auth-method=digital-signature certificate=cert_srv generate-policy=port-strict mode-config=IKEv2-cfg peer=ikev2_peer policy-template-group=\
    IKEv2-policies
/ip ipsec policy
add dst-address=172.17.59.0/24 group=IKEv2-policies proposal=ikev2_ph2 src-address=0.0.0.0/0 template=yes
/ip route
add distance=1 gateway=xxx.xxx.xxx.xxx routing-mark=vpn
add distance=1 gateway=172.17.201.254
add distance=1 dst-address=10.1.216.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.16.0.0/12 gateway=172.17.250.134
add distance=1 dst-address=172.17.52.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.17.54.0/24 gateway=172.17.20.100
add distance=1 dst-address=172.17.250.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.101/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.102/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.103/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.107/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.111/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.198/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.199/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.200/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.201/32 gateway=172.17.250.134
/ip route rule
add src-address=xxx.xxx.xxx.xxx table=vpn
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set time-interval=hour
/mpls
set dynamic-label-range=8000-10000
/mpls ldp
set enabled=yes lsr-id=172.17.254.110 transport-address=172.17.254.110
/mpls ldp interface
add interface=vlan82
/ppp secret
add local-address=172.17.20.1 name=l2tp_x profile=profile_l2tp remote-address=172.17.20.100 service=l2tp
/routing bgp peer
add address-families=l2vpn name=mssu-pe remote-address=172.17.254.111 remote-as=65530 update-source=loopback
add address-families=l2vpn name=m9-PE remote-address=172.17.254.198 remote-as=65530 update-source=loopback
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=PE

 

настойки винды много позже

Edited by Владимир320

Share this post


Link to post
Share on other sites

Много наворочено, как следствие, много возможных причин. Для начала, зачем вам мост bridge_IKEv2, если он дальше нигде не фигурирует?

 

proposal для IKEv2 пока приведите к виду: auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-gcm pfs-group=none

profile к: enc-algorithm=aes-256 hash-algorithm=sha256 prf-algorithm=sha256

Share this post


Link to post
Share on other sites

бридж для того, чтобы не привязывать к физическому порту сетку vpn

Edited by Владимир320

Share this post


Link to post
Share on other sites

А вы сетку VPN через динамику вроде iBGP куда-то еще раздаете? Если нет, то вообще не нужно физического/логического воплощения, туннели и так создадутся. 

Share this post


Link to post
Share on other sites

Сетку я никуда не сдаю, но мне нужно ее занатить, чтобы внутрянка была доступна. То, что можно не вешать сеть впн на какой либо интерфейс и должно работать - новая информация для меня

Share this post


Link to post
Share on other sites

отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный

Share this post


Link to post
Share on other sites

Я же правильно понимаю по поводу динамической этой сетки, что она нужна тока моему компу, чтобы комп направил нужный трафик на интерфейс ipsec и далее уже навесились политики шифрования и тд, и после этого через дефолт до адреса сервера?

Share this post


Link to post
Share on other sites

>отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный

 

 ipsec - просто криптотуннель меж ip, пропихивая в крипто трафмк в него меж сетями , описанными в ipsec. Далее - маршрутизация

Share this post


Link to post
Share on other sites

Это я понимаю), у меня встал вопрос, почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес. В моем случае 172.17.59.20.

вот пример:

     172.17.52.23  255.255.255.255         On-link      172.17.59.20     46
     172.17.52.39  255.255.255.255         On-link      172.17.59.20     46

 

 

пул, который я настроил для пиров

/ip pool
add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20

 

/ip ipsec mode-config
add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24

Edited by Владимир320

Share this post


Link to post
Share on other sites

2 часа назад, Владимир320 сказал:

почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес

Все так и работает. Роутеру не нужно расходовать адрес со своей стороны, он и так понимает, откуда трафик пришел.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.