[Владимир320]

Столкнулся пока с нерешаемым моментом.

Настроен vpn на mikrotik CCR1016-12S-1S+.

Подключаюсь при помощи сертификата windows11. Все отлично подключается и через некоторое время, 2-3 минуты, особенно, если нет никакой активности, то в логах микроика появляется лог "no proposal chosen" и сети через vpn становятся недоступными, хотя сам vpn подключен. Переподключаюсь и все работает.

Кто нибудь сталкивался с подобным? Если да, то скажите какой конфиг выложить

Edited December 12, 2022 by Владимир320

[jffulcrum]

Конфиг Mikrotik для начала, публичные ip затереть. Со стороны винды - покажите расширенные настройки соединения

[Владимир320]

/interface bridge
add name=bridge_IKEv2 protocol-mode=none
add name=bridge_vpls_vlan53 protocol-mode=none
add name=bridge_vpls_vlan85 protocol-mode=none
add name=bridge_vpls_vlan210 protocol-mode=none
add name=bridge_vpls_vlan800 protocol-mode=none
add name=bridge_vpls_vlan907 protocol-mode=none
add disabled=yes name=bridge_vpls_vlan951 protocol-mode=none
add name=loopback protocol-mode=none
/interface vlan
add interface=sfpplus1 name=vlan53 vlan-id=53
add interface=sfpplus1 name=vlan82 vlan-id=82
add interface=sfpplus1 name=vlan85 vlan-id=85
add interface=sfpplus1 name=vlan210 vlan-id=210
add interface=sfp12 name=vlan701 vlan-id=701
add interface=sfpplus1 name=vlan800 vlan-id=800
add interface=sfpplus1 name=vlan907 vlan-id=907
add disabled=yes interface=sfpplus1 name=vlan951 vlan-id=951
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=IKEv2-policies
/ip ipsec profile
add dpd-interval=disable-dpd enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256 name=ikev2_ph1
/ip ipsec peer
add exchange-mode=ike2 name=ikev2_peer passive=yes profile=ikev2_ph1 send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] lifetime=1h
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-ctr,aes-128-gcm name=ikev2_ph2
/ip pool
add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20
/ip ipsec mode-config
add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24
/ppp profile
add name=profile_l2tp
/routing bgp instance
set default client-to-client-reflection=no router-id=172.17.254.110
/snmp community
set [ find default=yes ] addresses=172.16.9.35/32 name=publ
/certificate settings
set crl-use=yes
/interface bridge port
add bridge=bridge_vpls_vlan53 interface=vlan53
add bridge=bridge_vpls_vlan210 interface=vlan210
add bridge=bridge_vpls_vlan800 interface=vlan800
add bridge=bridge_vpls_vlan907 interface=vlan907
add bridge=bridge_vpls_vlan85 ingress-filtering=yes interface=vlan85
add bridge=bridge_vpls_vlan951 ingress-filtering=yes interface=vlan951
/ip firewall connection tracking
set tcp-established-timeout=30m
/ip neighbor discovery-settings
set discover-interface-list=none protocol=""
/ip settings
set tcp-syncookies=yes
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxx
/interface vpls bgp-vpls
add bridge=bridge_vpls_vlan53 bridge-horizon=5 export-route-targets=65530:53 import-route-targets=65530:53 name=vpls_53 route-distinguisher=65530:53 \
    site-id=50
add bridge=bridge_vpls_vlan210 bridge-horizon=5 export-route-targets=65530:210 import-route-targets=65530:210 name=vpls_210 route-distinguisher=\
    65530:210 site-id=110
add bridge=bridge_vpls_vlan800 bridge-horizon=5 export-route-targets=65530:800 import-route-targets=65530:800 name=vpls_800 route-distinguisher=\
    65530:800 site-id=50
add bridge=bridge_vpls_vlan907 bridge-horizon=5 export-route-targets=65530:907 import-route-targets=65530:907 name=vpls_907 route-distinguisher=\
    65530:907 site-id=906
add bridge=bridge_vpls_vlan85 bridge-horizon=5 export-route-targets=65530:85 import-route-targets=65530:85 name=vpls_85 route-distinguisher=65530:85 \
    site-id=50
add bridge=bridge_vpls_vlan951 bridge-horizon=5 disabled=yes export-route-targets=65530:951 import-route-targets=65530:951 name=vpls_951 \
    route-distinguisher=65530:951 site-id=50
/ip address
add address=192.168.88.1/24 comment=defconf interface=sfp1 network=192.168.88.0
add address=172.17.201.230/24 interface=vlan701 network=172.17.201.0
add address=172.17.250.133/30 interface=vlan82 network=172.17.250.132
add address=172.17.254.110 interface=loopback network=172.17.254.110
add address=xxx.xxx.xxx.xxx interface=vlan907 network=xxx.xxx.xxx.xxx
add address=172.17.59.1/24 interface=bridge_IKEv2 network=172.17.59.0
/ip firewall address-list
add address=172.17.52.0/24 list=allowed_net
add address=172.17.213.0/24 list=allowed_net
add address=192.168.88.0/24 list=allowed_net
add address=xxx.xxx.xxx.xxx list=allowed_net
add address=172.16.210.0/24 list=allowed_net
add address=xxx.xxx.xxx.xxx list=syn_allowed
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=jump chain=input connection-state=new in-interface=bridge_vpls_vlan907 jump-target="check syn" protocol=tcp tcp-flags=syn
add action=return chain="check syn" src-address-list=syn_allowed
add action=return chain="check syn" dst-limit=50,50,src-and-dst-addresses/1m40s
add action=add-src-to-address-list address-list=syn_block address-list-timeout=5m chain="check syn" log=yes
add action=jump chain=input dst-address=xxx.xxx.xxx.xxx jump-target=icmpknock protocol=icmp
add action=add-src-to-address-list address-list=icmp_stage1 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx
add action=add-src-to-address-list address-list=icmp_stage2 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx \
    src-address-list=icmp_stage1
add action=add-src-to-address-list address-list=allowed_net_world address-list-timeout=30m chain=icmpknock comment="packet size xx" log=yes packet-size=\
    xx src-address-list=icmp_stage2
add action=return chain=icmpknock
add action=accept chain=input dst-port=8291,80,22 protocol=tcp src-address-list=allowed_net
add action=accept chain=input dst-port=8291,22 protocol=tcp src-address-list=allowed_net_world
add action=drop chain=input dst-port=8291,80,22 protocol=tcp
add action=jump chain=input comment="packet size xx" dst-address=xxx.xxx.xxx.xxx in-interface=bridge_vpls_vlan907 jump-target=ikev2_knock packet-size=xx \
    protocol=icmp
add action=add-src-to-address-list address-list=ikev2_allowed address-list-timeout=2h chain=ikev2_knock log=yes
add action=accept chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp src-address-list=ikev2_allowed
add action=drop chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp
/ip firewall mangle
add action=sniff-tzsp chain=prerouting disabled=yes in-interface=vlan210 sniff-target=172.17.52.23 sniff-target-port=37008
/ip firewall nat
add action=src-nat chain=srcnat dst-address=10.1.216.0/24 out-interface=vlan82 src-address=172.17.59.0/24 to-addresses=172.17.201.230
/ip firewall raw
add action=drop chain=prerouting in-interface=bridge_vpls_vlan907 src-address-list=syn_block
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec identity
add auth-method=digital-signature certificate=cert_srv generate-policy=port-strict mode-config=IKEv2-cfg peer=ikev2_peer policy-template-group=\
    IKEv2-policies
/ip ipsec policy
add dst-address=172.17.59.0/24 group=IKEv2-policies proposal=ikev2_ph2 src-address=0.0.0.0/0 template=yes
/ip route
add distance=1 gateway=xxx.xxx.xxx.xxx routing-mark=vpn
add distance=1 gateway=172.17.201.254
add distance=1 dst-address=10.1.216.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.16.0.0/12 gateway=172.17.250.134
add distance=1 dst-address=172.17.52.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.17.54.0/24 gateway=172.17.20.100
add distance=1 dst-address=172.17.250.0/24 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.101/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.102/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.103/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.107/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.111/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.198/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.199/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.200/32 gateway=172.17.250.134
add distance=1 dst-address=172.17.254.201/32 gateway=172.17.250.134
/ip route rule
add src-address=xxx.xxx.xxx.xxx table=vpn
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set time-interval=hour
/mpls
set dynamic-label-range=8000-10000
/mpls ldp
set enabled=yes lsr-id=172.17.254.110 transport-address=172.17.254.110
/mpls ldp interface
add interface=vlan82
/ppp secret
add local-address=172.17.20.1 name=l2tp_x profile=profile_l2tp remote-address=172.17.20.100 service=l2tp
/routing bgp peer
add address-families=l2vpn name=mssu-pe remote-address=172.17.254.111 remote-as=65530 update-source=loopback
add address-families=l2vpn name=m9-PE remote-address=172.17.254.198 remote-as=65530 update-source=loopback
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=PE

 

настойки винды много позже

Edited December 12, 2022 by Владимир320

[jffulcrum]

Много наворочено, как следствие, много возможных причин. Для начала, зачем вам мост bridge_IKEv2, если он дальше нигде не фигурирует?

 

proposal для IKEv2 пока приведите к виду: auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-gcm pfs-group=none

profile к: enc-algorithm=aes-256 hash-algorithm=sha256 prf-algorithm=sha256

[Владимир320]

бридж для того, чтобы не привязывать к физическому порту сетку vpn

Edited December 12, 2022 by Владимир320

[jffulcrum]

А вы сетку VPN через динамику вроде iBGP куда-то еще раздаете? Если нет, то вообще не нужно физического/логического воплощения, туннели и так создадутся. 

[Владимир320]

Сетку я никуда не сдаю, но мне нужно ее занатить, чтобы внутрянка была доступна. То, что можно не вешать сеть впн на какой либо интерфейс и должно работать - новая информация для меня

[Владимир320]

отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный

[Владимир320]

Я же правильно понимаю по поводу динамической этой сетки, что она нужна тока моему компу, чтобы комп направил нужный трафик на интерфейс ipsec и далее уже навесились политики шифрования и тд, и после этого через дефолт до адреса сервера?

[YuryD]

>отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный

 

 ipsec - просто криптотуннель меж ip, пропихивая в крипто трафмк в него меж сетями , описанными в ipsec. Далее - маршрутизация

[Владимир320]

Это я понимаю), у меня встал вопрос, почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес. В моем случае 172.17.59.20.

вот пример:

     172.17.52.23  255.255.255.255         On-link      172.17.59.20     46
     172.17.52.39  255.255.255.255         On-link      172.17.59.20     46

 

 

пул, который я настроил для пиров

/ip pool
add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20

 

/ip ipsec mode-config
add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24

Edited December 16, 2022 by Владимир320

[jffulcrum]

2 часа назад, Владимир320 сказал:

почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес

Все так и работает. Роутеру не нужно расходовать адрес со своей стороны, он и так понимает, откуда трафик пришел.