Владимир320 Опубликовано 12 декабря, 2022 (изменено) Столкнулся пока с нерешаемым моментом. Настроен vpn на mikrotik CCR1016-12S-1S+. Подключаюсь при помощи сертификата windows11. Все отлично подключается и через некоторое время, 2-3 минуты, особенно, если нет никакой активности, то в логах микроика появляется лог "no proposal chosen" и сети через vpn становятся недоступными, хотя сам vpn подключен. Переподключаюсь и все работает. Кто нибудь сталкивался с подобным? Если да, то скажите какой конфиг выложить Изменено 12 декабря, 2022 пользователем Владимир320 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 12 декабря, 2022 Конфиг Mikrotik для начала, публичные ip затереть. Со стороны винды - покажите расширенные настройки соединения Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 12 декабря, 2022 (изменено) /interface bridge add name=bridge_IKEv2 protocol-mode=none add name=bridge_vpls_vlan53 protocol-mode=none add name=bridge_vpls_vlan85 protocol-mode=none add name=bridge_vpls_vlan210 protocol-mode=none add name=bridge_vpls_vlan800 protocol-mode=none add name=bridge_vpls_vlan907 protocol-mode=none add disabled=yes name=bridge_vpls_vlan951 protocol-mode=none add name=loopback protocol-mode=none /interface vlan add interface=sfpplus1 name=vlan53 vlan-id=53 add interface=sfpplus1 name=vlan82 vlan-id=82 add interface=sfpplus1 name=vlan85 vlan-id=85 add interface=sfpplus1 name=vlan210 vlan-id=210 add interface=sfp12 name=vlan701 vlan-id=701 add interface=sfpplus1 name=vlan800 vlan-id=800 add interface=sfpplus1 name=vlan907 vlan-id=907 add disabled=yes interface=sfpplus1 name=vlan951 vlan-id=951 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec policy group add name=IKEv2-policies /ip ipsec profile add dpd-interval=disable-dpd enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256 name=ikev2_ph1 /ip ipsec peer add exchange-mode=ike2 name=ikev2_peer passive=yes profile=ikev2_ph1 send-initial-contact=no /ip ipsec proposal set [ find default=yes ] lifetime=1h add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-ctr,aes-128-gcm name=ikev2_ph2 /ip pool add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20 /ip ipsec mode-config add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24 /ppp profile add name=profile_l2tp /routing bgp instance set default client-to-client-reflection=no router-id=172.17.254.110 /snmp community set [ find default=yes ] addresses=172.16.9.35/32 name=publ /certificate settings set crl-use=yes /interface bridge port add bridge=bridge_vpls_vlan53 interface=vlan53 add bridge=bridge_vpls_vlan210 interface=vlan210 add bridge=bridge_vpls_vlan800 interface=vlan800 add bridge=bridge_vpls_vlan907 interface=vlan907 add bridge=bridge_vpls_vlan85 ingress-filtering=yes interface=vlan85 add bridge=bridge_vpls_vlan951 ingress-filtering=yes interface=vlan951 /ip firewall connection tracking set tcp-established-timeout=30m /ip neighbor discovery-settings set discover-interface-list=none protocol="" /ip settings set tcp-syncookies=yes /interface l2tp-server server set enabled=yes ipsec-secret=xxxxx /interface vpls bgp-vpls add bridge=bridge_vpls_vlan53 bridge-horizon=5 export-route-targets=65530:53 import-route-targets=65530:53 name=vpls_53 route-distinguisher=65530:53 \ site-id=50 add bridge=bridge_vpls_vlan210 bridge-horizon=5 export-route-targets=65530:210 import-route-targets=65530:210 name=vpls_210 route-distinguisher=\ 65530:210 site-id=110 add bridge=bridge_vpls_vlan800 bridge-horizon=5 export-route-targets=65530:800 import-route-targets=65530:800 name=vpls_800 route-distinguisher=\ 65530:800 site-id=50 add bridge=bridge_vpls_vlan907 bridge-horizon=5 export-route-targets=65530:907 import-route-targets=65530:907 name=vpls_907 route-distinguisher=\ 65530:907 site-id=906 add bridge=bridge_vpls_vlan85 bridge-horizon=5 export-route-targets=65530:85 import-route-targets=65530:85 name=vpls_85 route-distinguisher=65530:85 \ site-id=50 add bridge=bridge_vpls_vlan951 bridge-horizon=5 disabled=yes export-route-targets=65530:951 import-route-targets=65530:951 name=vpls_951 \ route-distinguisher=65530:951 site-id=50 /ip address add address=192.168.88.1/24 comment=defconf interface=sfp1 network=192.168.88.0 add address=172.17.201.230/24 interface=vlan701 network=172.17.201.0 add address=172.17.250.133/30 interface=vlan82 network=172.17.250.132 add address=172.17.254.110 interface=loopback network=172.17.254.110 add address=xxx.xxx.xxx.xxx interface=vlan907 network=xxx.xxx.xxx.xxx add address=172.17.59.1/24 interface=bridge_IKEv2 network=172.17.59.0 /ip firewall address-list add address=172.17.52.0/24 list=allowed_net add address=172.17.213.0/24 list=allowed_net add address=192.168.88.0/24 list=allowed_net add address=xxx.xxx.xxx.xxx list=allowed_net add address=172.16.210.0/24 list=allowed_net add address=xxx.xxx.xxx.xxx list=syn_allowed /ip firewall filter add action=drop chain=input connection-state=invalid add action=jump chain=input connection-state=new in-interface=bridge_vpls_vlan907 jump-target="check syn" protocol=tcp tcp-flags=syn add action=return chain="check syn" src-address-list=syn_allowed add action=return chain="check syn" dst-limit=50,50,src-and-dst-addresses/1m40s add action=add-src-to-address-list address-list=syn_block address-list-timeout=5m chain="check syn" log=yes add action=jump chain=input dst-address=xxx.xxx.xxx.xxx jump-target=icmpknock protocol=icmp add action=add-src-to-address-list address-list=icmp_stage1 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx add action=add-src-to-address-list address-list=icmp_stage2 address-list-timeout=30s chain=icmpknock comment="packet size xx" packet-size=xx \ src-address-list=icmp_stage1 add action=add-src-to-address-list address-list=allowed_net_world address-list-timeout=30m chain=icmpknock comment="packet size xx" log=yes packet-size=\ xx src-address-list=icmp_stage2 add action=return chain=icmpknock add action=accept chain=input dst-port=8291,80,22 protocol=tcp src-address-list=allowed_net add action=accept chain=input dst-port=8291,22 protocol=tcp src-address-list=allowed_net_world add action=drop chain=input dst-port=8291,80,22 protocol=tcp add action=jump chain=input comment="packet size xx" dst-address=xxx.xxx.xxx.xxx in-interface=bridge_vpls_vlan907 jump-target=ikev2_knock packet-size=xx \ protocol=icmp add action=add-src-to-address-list address-list=ikev2_allowed address-list-timeout=2h chain=ikev2_knock log=yes add action=accept chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp src-address-list=ikev2_allowed add action=drop chain=input dst-port=500,4500 in-interface=bridge_vpls_vlan907 protocol=udp /ip firewall mangle add action=sniff-tzsp chain=prerouting disabled=yes in-interface=vlan210 sniff-target=172.17.52.23 sniff-target-port=37008 /ip firewall nat add action=src-nat chain=srcnat dst-address=10.1.216.0/24 out-interface=vlan82 src-address=172.17.59.0/24 to-addresses=172.17.201.230 /ip firewall raw add action=drop chain=prerouting in-interface=bridge_vpls_vlan907 src-address-list=syn_block /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip ipsec identity add auth-method=digital-signature certificate=cert_srv generate-policy=port-strict mode-config=IKEv2-cfg peer=ikev2_peer policy-template-group=\ IKEv2-policies /ip ipsec policy add dst-address=172.17.59.0/24 group=IKEv2-policies proposal=ikev2_ph2 src-address=0.0.0.0/0 template=yes /ip route add distance=1 gateway=xxx.xxx.xxx.xxx routing-mark=vpn add distance=1 gateway=172.17.201.254 add distance=1 dst-address=10.1.216.0/24 gateway=172.17.250.134 add distance=1 dst-address=172.16.0.0/12 gateway=172.17.250.134 add distance=1 dst-address=172.17.52.0/24 gateway=172.17.250.134 add distance=1 dst-address=172.17.54.0/24 gateway=172.17.20.100 add distance=1 dst-address=172.17.250.0/24 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.101/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.102/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.103/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.107/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.111/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.198/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.199/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.200/32 gateway=172.17.250.134 add distance=1 dst-address=172.17.254.201/32 gateway=172.17.250.134 /ip route rule add src-address=xxx.xxx.xxx.xxx table=vpn /ip service set telnet disabled=yes set ftp disabled=yes set api disabled=yes set api-ssl disabled=yes /lcd set time-interval=hour /mpls set dynamic-label-range=8000-10000 /mpls ldp set enabled=yes lsr-id=172.17.254.110 transport-address=172.17.254.110 /mpls ldp interface add interface=vlan82 /ppp secret add local-address=172.17.20.1 name=l2tp_x profile=profile_l2tp remote-address=172.17.20.100 service=l2tp /routing bgp peer add address-families=l2vpn name=mssu-pe remote-address=172.17.254.111 remote-as=65530 update-source=loopback add address-families=l2vpn name=m9-PE remote-address=172.17.254.198 remote-as=65530 update-source=loopback /snmp set enabled=yes /system clock set time-zone-name=Europe/Moscow /system identity set name=PE настойки винды много позже Изменено 12 декабря, 2022 пользователем Владимир320 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 12 декабря, 2022 Много наворочено, как следствие, много возможных причин. Для начала, зачем вам мост bridge_IKEv2, если он дальше нигде не фигурирует? proposal для IKEv2 пока приведите к виду: auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-gcm pfs-group=none profile к: enc-algorithm=aes-256 hash-algorithm=sha256 prf-algorithm=sha256 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 12 декабря, 2022 (изменено) бридж для того, чтобы не привязывать к физическому порту сетку vpn Изменено 12 декабря, 2022 пользователем Владимир320 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 12 декабря, 2022 А вы сетку VPN через динамику вроде iBGP куда-то еще раздаете? Если нет, то вообще не нужно физического/логического воплощения, туннели и так создадутся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 12 декабря, 2022 Сетку я никуда не сдаю, но мне нужно ее занатить, чтобы внутрянка была доступна. То, что можно не вешать сеть впн на какой либо интерфейс и должно работать - новая информация для меня Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 12 декабря, 2022 отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 16 декабря, 2022 Я же правильно понимаю по поводу динамической этой сетки, что она нужна тока моему компу, чтобы комп направил нужный трафик на интерфейс ipsec и далее уже навесились политики шифрования и тд, и после этого через дефолт до адреса сервера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 декабря, 2022 >отключил бридж и все работает) видимо я не до конца понимаю ipsec, буду читать. Поправил фазы и пока полет нормальный ipsec - просто криптотуннель меж ip, пропихивая в крипто трафмк в него меж сетями , описанными в ipsec. Далее - маршрутизация Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 16 декабря, 2022 (изменено) Это я понимаю), у меня встал вопрос, почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес. В моем случае 172.17.59.20. вот пример: 172.17.52.23 255.255.255.255 On-link 172.17.59.20 46 172.17.52.39 255.255.255.255 On-link 172.17.59.20 46 пул, который я настроил для пиров /ip pool add name=pool_ikev2 ranges=172.17.59.10-172.17.59.20 /ip ipsec mode-config add address-pool=pool_ikev2 address-prefix-length=32 name=IKEv2-cfg split-include=172.17.52.23/32,10.1.216.0/24 Изменено 16 декабря, 2022 пользователем Владимир320 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 16 декабря, 2022 2 часа назад, Владимир320 сказал: почему я на компе вижу, что сети, полученные через vpn, маршрутизируются через динамический серый адрес Все так и работает. Роутеру не нужно расходовать адрес со своей стороны, он и так понимает, откуда трафик пришел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...