Владимир320 Posted December 12, 2022 (edited) · Report post Столкнулся пока с нерешаемым моментом. Настроен vpn на mikrotik CCR1016-12S-1S+. Подключаюсь при помощи сертификата windows11. Все отлично подключается и через некоторое время, 2-3 минуты, особенно, если нет никакой активности, то в логах микроика появляется лог "no proposal chosen" и сети через vpn становятся недоступными, хотя сам vpn подключен. Переподключаюсь и все работает. Кто нибудь сталкивался с подобным? Если да, то скажите какой конфиг выложить Edited December 12, 2022 by Владимир320 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted December 12, 2022 · Report post Конфиг Mikrotik для начала, публичные ip затереть. Со стороны винды - покажите расширенные настройки соединения Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Владимир320 Posted December 12, 2022 (edited) · Report post /interface bridge add name=bridge_IKEv2 protocol-mode=none add name=bridge_vpls_vlan53 protocol-mode=none add name=bridge_vpls_vlan85 protocol-mode=none add name=bridge_vpls_vlan210 protocol-mode=none add name=bridge_vpls_vlan800 protocol-mode=none add name=bridge_vpls_vlan907 protocol-mode=none add disabled=yes name=bridge_vpls_vlan951 protocol-mode=none add name=loopback protocol-mode=none /interface vlan add interface=sfpplus1 name=vlan53 vlan-id=53 add interface=sfpplus1 name=vlan82 vlan-id=82 add interface=sfpplus1 name=vlan85 vlan-id=85 add interface=sfpplus1 name=vlan210 vlan-id=210 add interface=sfp12 name=vlan701 vlan-id=701 add interface=sfpplus1 name=vlan800 vlan-id=800 add interface=sfpplus1 name=vlan907 vlan-id=907 add disabled=yes interface=sfpplus1 name=vlan951 vlan-id=951 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec policy group add name=IKEv2-policies /ip ipsec profile add dpd-interval=disable-dpd enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256 name=ikev2_ph1 /ip ipsec peer add exchange-mode=ike2 name=ikev2_peer passive=yes profile=ikev2_ph1 send-initial-contact=no /ip ipsec proposal set [ find default=yes ] lifetime=1h add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-ctr,aes-128-gcm name=ikev2_ph2 /ip pool add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20 /ip ipsec mode-config add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24 /ppp profile add name=profile_l2tp /routing bgp instance set default client-to-client-reflection=no router-id=172.17.254.110 /snmp community set [ find default=yes ] addresses=172.16.9.35/32 name=publ /certificate settings set crl-use=yes /interface bridge port add bridge=bridge_vpls_vlan53 interface=vlan53 add bridge=bridge_vpls_vlan210 interface=vlan210 add bridge=bridge_vpls_vlan800 interface=vlan800 add bridge=bridge_vpls_vlan907 interface=vlan907 add bridge=bridge_vpls_vlan85 ingress-filtering=yes interface=vlan85 add bridge=bridge_vpls_vlan951 ingress-filtering=yes interface=vlan951 /ip firewall connection tracking set tcp-established-timeout=30m /ip neighbor discovery-settings set discover-interface-list=none protocol="" /ip settings set tcp-syncookies=yes /interface l2tp-server server set enabled=yes ipsec-secret=xxxxx /interface vpls bgp-vpls add bridge=bridge_vpls_vlan53 bridge-horizon=5 export-route-targets=65530:53 import-route-targets=65530:53 name=vpls_53 route-distinguisher=65530:53 \ site-id=50 add bridge=bridge_vpls_vlan210 bridge-horizon=5 export-route-targets=65530:210 import-route-targets=65530:210 name=vpls_210 route-distinguisher=\ 65530:210 site-id=110 add bridge=bridge_vpls_vlan800 bridge-horizon=5 export-route-targets=65530:800 import-route-targets=65530:800 name=vpls_800 route-distinguisher=\ 65530:800 site-id=50 add bridge=bridge_vpls_vlan907 bridge-horizon=5 export-route-targets=65530:907 import-route-targets=65530:907 name=vpls_907 route-distinguisher=\ 65530:907 site-id=906 add bridge=bridge_vpls_vlan85 bridge-horizon=5 export-route-targets=65530:85 import-route-targets=65530:85 name=vpls_85 route-distinguisher=65530:85 \ site-id=50 add bridge=bridge_vpls_vlan951 bridge-horizon=5 disabled=yes export-route-targets=65530:951 import-route-targets=65530:951 name=vpls_951 \ route-distinguisher=65530:951 site-id=50 /ip address add address=192.168.88.1/24 comment=defconf interface=sfp1 network=192.168.88.0 add address=172.17.201.230/24 interface=vlan701 network=172.17.201.0 add address=172.17.250.133/30 interface=vlan82 network=172.17.250.132 add address=172.17.254.110 interface=loopback network=172.17.254.110 add address=xxx.xxx.xxx.xxx interface=vlan907 network=xxx.xxx.xxx.xxx add address=172.17.59.1/24 interface=bridge_IKEv2 network=172.17.59.0 /ip firewall address-list add address=172.17.52.0/24 list=allowed_net add address=172.17.213.0/24 list=allowed_net add address=192.168.88.0/24 list=allowed_net add address=xxx.xxx.xxx.xxx list=allowed_net add address=172.16.210.0/24 list=allowed_net add address=xxx.xxx.xxx.xxx list=syn_allowed /ip firewall filter add action=drop chain=input connection-state=invalid add action=jump chain=input connection-state=new in-interface=bridge_vpls_vlan907 jump-target="check syn" protocol=tcp tcp-flags=syn add action=return chain="check syn" src-address-list=syn_allowed add action=return chain="check syn" dst-limit=50,50,src-and-dst-addresses/1m40s add action=add-src-to-address-list address-list=syn_block address-list-timeout=5m chain="check syn" log=yes add action=jump chain=input dst-address=xxx.xxx.xxx.xxx jump-target=icmpknock protocol=icmp add action=add-src-to-address-list address-list=icmp_stage1 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx add action=add-src-to-address-list address-list=icmp_stage2 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx \ src-address-list=icmp_stage1 add action=add-src-to-address-list address-list=allowed_net_world address-list-timeout=30m chain=icmpknock comment="packet size xx" log=yes packet-size=\ xx src-address-list=icmp_stage2 add action=return chain=icmpknock add action=accept chain=input dst-port=8291,80,22 protocol=tcp src-address-list=allowed_net add action=accept chain=input dst-port=8291,22 protocol=tcp src-address-list=allowed_net_world add action=drop chain=input dst-port=8291,80,22 protocol=tcp add action=jump chain=input comment="packet size xx" dst-address=xxx.xxx.xxx.xxx in-interface=bridge_vpls_vlan907 jump-target=ikev2_knock packet-size=xx \ protocol=icmp add action=add-src-to-address-list address-list=ikev2_allowed address-list-timeout=2h chain=ikev2_knock log=yes add action=accept chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp src-address-list=ikev2_allowed add action=drop chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp /ip firewall mangle add action=sniff-tzsp chain=prerouting disabled=yes in-interface=vlan210 sniff-target=172.17.52.23 sniff-target-port=37008 /ip firewall nat add action=src-nat chain=srcnat dst-address=10.1.216.0/24 out-interface=vlan82 src-address=172.17.59.0/24 to-addresses=172.17.201.230 /ip firewall raw add action=drop chain=prerouting in-interface=bridge_vpls_vlan907 src-address-list=syn_block /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip ipsec identity add auth-method=digital-signature certificate=cert_srv generate-policy=port-strict mode-config=IKEv2-cfg peer=ikev2_peer policy-template-group=\ IKEv2-policies /ip ipsec policy add dst-address=172.17.59.0/24 group=IKEv2-policies proposal=ikev2_ph2 src-address=0.0.0.0/0 template=yes /ip route add distance=1 gateway=xxx.xxx.xxx.xxx routing-mark=vpn add distance=1 gateway=172.17.201.254 add distance=1 dst-address=10.1.216.0/24 gateway=172.17.250.134 add distance=1 dst-address=172.16.0.0/12 gateway=172.17.250.134 add distance=1 dst-address=172.17.52.0/24 gateway=172.17.250.134 add distance=1 dst-address=172.17.54.0/24 gateway=172.17.20.100 add distance=1 dst-address=172.17.250.0/24 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.101/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.102/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.103/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.107/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.111/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.198/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.199/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.200/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.201/32 gateway=172.17.250.134 /ip route rule add src-address=xxx.xxx.xxx.xxx table=vpn /ip service set telnet disabled=yes set ftp disabled=yes set api disabled=yes set api-ssl disabled=yes /lcd set time-interval=hour /mpls set dynamic-label-range=8000-10000 /mpls ldp set enabled=yes lsr-id=172.17.254.110 transport-address=172.17.254.110 /mpls ldp interface add interface=vlan82 /ppp secret add local-address=172.17.20.1 name=l2tp_x profile=profile_l2tp remote-address=172.17.20.100 service=l2tp /routing bgp peer add address-families=l2vpn name=mssu-pe remote-address=172.17.254.111 remote-as=65530 update-source=loopback add address-families=l2vpn name=m9-PE remote-address=172.17.254.198 remote-as=65530 update-source=loopback /snmp set enabled=yes /system clock set time-zone-name=Europe/Moscow /system identity set name=PE настойки винды много позже Edited December 12, 2022 by Владимир320 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted December 12, 2022 · Report post Много наворочено, как следствие, много возможных причин. Для начала, зачем вам мост bridge_IKEv2, если он дальше нигде не фигурирует? proposal для IKEv2 пока приведите к виду: auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-gcm pfs-group=none profile к: enc-algorithm=aes-256 hash-algorithm=sha256 prf-algorithm=sha256 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Владимир320 Posted December 12, 2022 (edited) · Report post бридж для того, чтобы не привязывать к физическому порту сетку vpn Edited December 12, 2022 by Владимир320 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted December 12, 2022 · Report post А вы сетку VPN через динамику вроде iBGP куда-то еще раздаете? Если нет, то вообще не нужно физического/логического воплощения, туннели и так создадутся. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Владимир320 Posted December 12, 2022 · Report post Сетку я никуда не сдаю, но мне нужно ее занатить, чтобы внутрянка была доступна. То, что можно не вешать сеть впн на какой либо интерфейс и должно работать - новая информация для меня Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Владимир320 Posted December 12, 2022 · Report post отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Владимир320 Posted December 16, 2022 · Report post Я же правильно понимаю по поводу динамической этой сетки, что она нужна тока моему компу, чтобы комп направил нужный трафик на интерфейс ipsec и далее уже навесились политики шифрования и тд, и после этого через дефолт до адреса сервера? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted December 16, 2022 · Report post >отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный ipsec - просто криптотуннель меж ip, пропихивая в крипто трафмк в него меж сетями , описанными в ipsec. Далее - маршрутизация Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Владимир320 Posted December 16, 2022 (edited) · Report post Это я понимаю), у меня встал вопрос, почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес. В моем случае 172.17.59.20. вот пример: 172.17.52.23 255.255.255.255 On-link 172.17.59.20 46 172.17.52.39 255.255.255.255 On-link 172.17.59.20 46 пул, который я настроил для пиров /ip pool add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20 /ip ipsec mode-config add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24 Edited December 16, 2022 by Владимир320 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted December 16, 2022 · Report post 2 часа назад, Владимир320 сказал: почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес Все так и работает. Роутеру не нужно расходовать адрес со своей стороны, он и так понимает, откуда трафик пришел. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...