Перейти к содержимому
Калькуляторы

IKEv2 "no proposal chosen"

Столкнулся пока с нерешаемым моментом.

Настроен vpn на mikrotik CCR1016-12S-1S+.

Подключаюсь при помощи сертификата windows11. Все отлично подключается и через некоторое время, 2-3 минуты, особенно, если нет никакой активности, то в логах микроика появляется лог "no proposal chosen" и сети через vpn становятся недоступными, хотя сам vpn подключен. Переподключаюсь и все работает.

Кто нибудь сталкивался с подобным? Если да, то скажите какой конфиг выложить

Изменено пользователем Владимир320

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конфиг Mikrotik для начала, публичные ip затереть. Со стороны винды - покажите расширенные настройки соединения

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/interface bridge
add name=bridge_IKEv2 protocol-mode=none
add name=bridge_vpls_vlan53 protocol-mode=none
add name=bridge_vpls_vlan85 protocol-mode=none
add name=bridge_vpls_vlan210 protocol-mode=none
add name=bridge_vpls_vlan800 protocol-mode=none
add name=bridge_vpls_vlan907 protocol-mode=none
add disabled=yes name=bridge_vpls_vlan951 protocol-mode=none
add name=loopback protocol-mode=none
/interface vlan
add interface=sfpplus1 name=vlan53 vlan-id=53
add interface=sfpplus1 name=vlan82 vlan-id=82
add interface=sfpplus1 name=vlan85 vlan-id=85
add interface=sfpplus1 name=vlan210 vlan-id=210
add interface=sfp12 name=vlan701 vlan-id=701
add interface=sfpplus1 name=vlan800 vlan-id=800
add interface=sfpplus1 name=vlan907 vlan-id=907
add disabled=yes interface=sfpplus1 name=vlan951 vlan-id=951
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=IKEv2-policies
/ip ipsec profile
add dpd-interval=disable-dpd enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256 name=ikev2_ph1
/ip ipsec peer
add exchange-mode=ike2 name=ikev2_peer passive=yes profile=ikev2_ph1 send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] lifetime=1h
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-ctr,aes-128-gcm name=ikev2_ph2
/ip pool
add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20
/ip ipsec mode-config
add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24
/ppp profile
add name=profile_l2tp
/routing bgp instance
set default client-to-client-reflection=no router-id=172.17.254.110
/snmp community
set [ find default=yes ] addresses=172.16.9.35/32 name=publ
/certificate settings
set crl-use=yes
/interface bridge port
add bridge=bridge_vpls_vlan53 interface=vlan53
add bridge=bridge_vpls_vlan210 interface=vlan210
add bridge=bridge_vpls_vlan800 interface=vlan800
add bridge=bridge_vpls_vlan907 interface=vlan907
add bridge=bridge_vpls_vlan85 ingress-filtering=yes interface=vlan85
add bridge=bridge_vpls_vlan951 ingress-filtering=yes interface=vlan951
/ip firewall connection tracking
set tcp-established-timeout=30m
/ip neighbor discovery-settings
set discover-interface-list=none protocol=""
/ip settings
set tcp-syncookies=yes
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxx
/interface vpls bgp-vpls
add bridge=bridge_vpls_vlan53 bridge-horizon=5 export-route-targets=65530:53 import-route-targets=65530:53 name=vpls_53 route-distinguisher=65530:53 \
    site-id=50
add bridge=bridge_vpls_vlan210 bridge-horizon=5 export-route-targets=65530:210 import-route-targets=65530:210 name=vpls_210 route-distinguisher=\
    65530:210 site-id=110
add bridge=bridge_vpls_vlan800 bridge-horizon=5 export-route-targets=65530:800 import-route-targets=65530:800 name=vpls_800 route-distinguisher=\
    65530:800 site-id=50
add bridge=bridge_vpls_vlan907 bridge-horizon=5 export-route-targets=65530:907 import-route-targets=65530:907 name=vpls_907 route-distinguisher=\
    65530:907 site-id=906
add bridge=bridge_vpls_vlan85 bridge-horizon=5 export-route-targets=65530:85 import-route-targets=65530:85 name=vpls_85 route-distinguisher=65530:85 \
    site-id=50
add bridge=bridge_vpls_vlan951 bridge-horizon=5 disabled=yes export-route-targets=65530:951 import-route-targets=65530:951 name=vpls_951 \
    route-distinguisher=65530:951 site-id=50
/ip address
add address=192.168.88.1/24 comment=defconf interface=sfp1 network=192.168.88.0
add address=172.17.201.230/24 interface=vlan701 network=172.17.201.0
add address=172.17.250.133/30 interface=vlan82 network=172.17.250.132
add address=172.17.254.110 interface=loopback network=172.17.254.110
add address=xxx.xxx.xxx.xxx interface=vlan907 network=xxx.xxx.xxx.xxx
add address=172.17.59.1/24 interface=bridge_IKEv2 network=172.17.59.0
/ip firewall address-list
add address=172.17.52.0/24 list=allowed_net
add address=172.17.213.0/24 list=allowed_net
add address=192.168.88.0/24 list=allowed_net
add address=xxx.xxx.xxx.xxx list=allowed_net
add address=172.16.210.0/24 list=allowed_net
add address=xxx.xxx.xxx.xxx list=syn_allowed
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=jump chain=input connection-state=new in-interface=bridge_vpls_vlan907 jump-target="check syn" protocol=tcp tcp-flags=syn
add action=return chain="check syn" src-address-list=syn_allowed
add action=return chain="check syn" dst-limit=50,50,src-and-dst-addresses/1m40s
add action=add-src-to-address-list address-list=syn_block address-list-timeout=5m chain="check syn" log=yes
add action=jump chain=input dst-address=xxx.xxx.xxx.xxx jump-target=icmpknock protocol=icmp
add action=add-src-to-address-list address-list=icmp_stage1 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx
add action=add-src-to-address-list address-list=icmp_stage2 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx \
    src-address-list=icmp_stage1
add action=add-src-to-address-list address-list=allowed_net_world address-list-timeout=30m chain=icmpknock comment="packet size xx" log=yes packet-size=\
    xx src-address-list=icmp_stage2
add action=return chain=icmpknock
add action=accept chain=input dst-port=8291,80,22 protocol=tcp src-address-list=allowed_net
add action=accept chain=input dst-port=8291,22 protocol=tcp src-address-list=allowed_net_world
add action=drop chain=input dst-port=8291,80,22 protocol=tcp
add action=jump chain=input comment="packet size xx" dst-address=xxx.xxx.xxx.xxx in-interface=bridge_vpls_vlan907 jump-target=ikev2_knock packet-size=xx \
    protocol=icmp
add action=add-src-to-address-list address-list=ikev2_allowed address-list-timeout=2h chain=ikev2_knock log=yes
add action=accept chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp src-address-list=ikev2_allowed
add action=drop chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp
/ip firewall mangle
add action=sniff-tzsp chain=prerouting disabled=yes in-interface=vlan210 sniff-target=172.17.52.23 sniff-target-port=37008
/ip firewall nat
add action=src-nat chain=srcnat dst-address=10.1.216.0/24 out-interface=vlan82 src-address=172.17.59.0/24 to-addresses=172.17.201.230
/ip firewall raw
add action=drop chain=prerouting in-interface=bridge_vpls_vlan907 src-address-list=syn_block
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec identity
add auth-method=digital-signature certificate=cert_srv generate-policy=port-strict mode-config=IKEv2-cfg peer=ikev2_peer policy-template-group=\
    IKEv2-policies
/ip ipsec policy
add dst-address=172.17.59.0/24 group=IKEv2-policies proposal=ikev2_ph2 src-address=0.0.0.0/0 template=yes
/ip route
add distance=1 gateway=xxx.xxx.xxx.xxx routing-mark=vpn
add distance=1 gateway=172.17.201.254
add distance=1 dst-address=10.1.216.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.16.0.0/12 gateway=172.17.250.134
add distance=1 dst-address=172.17.52.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.17.54.0/24 gateway=172.17.20.100
add distance=1 dst-address=172.17.250.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.101/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.102/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.103/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.107/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.111/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.198/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.199/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.200/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.201/32 gateway=172.17.250.134
/ip route rule
add src-address=xxx.xxx.xxx.xxx table=vpn
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set time-interval=hour
/mpls
set dynamic-label-range=8000-10000
/mpls ldp
set enabled=yes lsr-id=172.17.254.110 transport-address=172.17.254.110
/mpls ldp interface
add interface=vlan82
/ppp secret
add local-address=172.17.20.1 name=l2tp_x profile=profile_l2tp remote-address=172.17.20.100 service=l2tp
/routing bgp peer
add address-families=l2vpn name=mssu-pe remote-address=172.17.254.111 remote-as=65530 update-source=loopback
add address-families=l2vpn name=m9-PE remote-address=172.17.254.198 remote-as=65530 update-source=loopback
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=PE

 

настойки винды много позже

Изменено пользователем Владимир320

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Много наворочено, как следствие, много возможных причин. Для начала, зачем вам мост bridge_IKEv2, если он дальше нигде не фигурирует?

 

proposal для IKEv2 пока приведите к виду: auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-gcm pfs-group=none

profile к: enc-algorithm=aes-256 hash-algorithm=sha256 prf-algorithm=sha256

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

бридж для того, чтобы не привязывать к физическому порту сетку vpn

Изменено пользователем Владимир320

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы сетку VPN через динамику вроде iBGP куда-то еще раздаете? Если нет, то вообще не нужно физического/логического воплощения, туннели и так создадутся. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сетку я никуда не сдаю, но мне нужно ее занатить, чтобы внутрянка была доступна. То, что можно не вешать сеть впн на какой либо интерфейс и должно работать - новая информация для меня

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я же правильно понимаю по поводу динамической этой сетки, что она нужна тока моему компу, чтобы комп направил нужный трафик на интерфейс ipsec и далее уже навесились политики шифрования и тд, и после этого через дефолт до адреса сервера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный

 

 ipsec - просто криптотуннель меж ip, пропихивая в крипто трафмк в него меж сетями , описанными в ipsec. Далее - маршрутизация

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это я понимаю), у меня встал вопрос, почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес. В моем случае 172.17.59.20.

вот пример:

     172.17.52.23  255.255.255.255         On-link      172.17.59.20     46
     172.17.52.39  255.255.255.255         On-link      172.17.59.20     46

 

 

пул, который я настроил для пиров

/ip pool
add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20

 

/ip ipsec mode-config
add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24

Изменено пользователем Владимир320

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Владимир320 сказал:

почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес

Все так и работает. Роутеру не нужно расходовать адрес со своей стороны, он и так понимает, откуда трафик пришел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.