ded_moroz Posted February 1, 2024 Дано: Микротик hAP AC2 с прошивкой 7.13.3 в роли роутера с поднятым сервером VPN IKEv2 по логину/паролю. Пользователи на radius, поднятом на нем же. Предположим, что фаервол ничего не блокирует Клиент на Windows 11, ВПН настроен стандартными средствами ВПН подключается, доступ в локалку есть, все ок Проблема: Если начать передавать с клиента в локалку какой-либо файл, то после передачи примерно 200 мб доступ в локалку обрывается, пакеты не идут, ВПН сессия при этом отображается как активная и на сервере и на клиенте. Микротик в лог присылает сообщение "no proposal chosen" раз в минуту Если поднять с теми же настройками IPSEC L2TP сервер - проблем с передачей файлов нет. Решение забить на IKEv2 и использовать L2TP не предлагать 😃 конфиг # model = RBD52G-5HacD2HnD /interface bridge add name=LAN port-cost-mode=short /ip address add address=172.16.0.1/24 interface=LAN network=172.16.0.0 add address=172.16.1.1/24 disabled=yes interface=LAN network=172.16.1.0 /ip pool add name=lan_pool ranges=172.16.0.150-172.16.0.199 add name=vpn_pool ranges=172.16.1.200-172.16.1.230 /ip dns set servers=77.88.8.88,77.88.8.2 /ip dhcp-client add interface=ether1 /interface bridge port add bridge=LAN interface=ether2 add bridge=LAN interface=ether3 add bridge=LAN interface=ether4 add bridge=LAN interface=ether5 internal-path-cost=10 path-cost=10 add bridge=LAN interface=wlan1 internal-path-cost=10 path-cost=10 add bridge=LAN interface=wlan2 internal-path-cost=10 path-cost=10 /ip settings set max-neighbor-entries=8192 /ipv6 settings set disable-ipv6=yes max-neighbor-entries=8192 /ip ipsec policy group add name=ike2 add name=for_ios /ip ipsec profile set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-192 add dh-group=modp1024 enc-algorithm=aes-256,aes-192 hash-algorithm=sha256 \ name=profile-ike2 prf-algorithm=sha256 add dh-group=modp1024 enc-algorithm=aes-256,aes-192 name=for_ios /ip ipsec peer add exchange-mode=ike2 name=peerike2 passive=yes profile=profile-ike2 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr lifetime=1d add auth-algorithms=sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr lifetime=1d name=\ proposal-ike2 pfs-group=none /ip ipsec identity add auth-method=eap-radius certificate=\ letsencrypt-autogen_2024-01-29T13:00:42Z,lets-encrypt-r3.pem_0 \ generate-policy=port-strict mode-config=ike2-modconf peer=peerike2 \ policy-template-group=ike2 /ip ipsec policy add dst-address=172.16.1.0/24 group=ike2 src-address=0.0.0.0/0 template=yes /ip ipsec mode-config add address-pool=vpn_pool name=ike2-modconf split-include=172.16.0.0/24 /radius add address=127.0.0.1 service=ppp,ipsec /user-manager set certificate=*0 enabled=yes /user-manager router add address=127.0.0.1 name=router1 /user-manager user add name=%ИМЯ ЮЗЕРА% /routing bfd configuration add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5 /system ntp client set enabled=yes /system ntp client servers add address=ntp0.ntp-servers.net Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 1, 2024 А с другого компа? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted February 1, 2024 3 часа назад, ded_moroz сказал: Дано: Микротик hAP AC2 с прошивкой 7.13.3 в роли роутера с поднятым сервером VPN IKEv2 по логину/паролю. Пользователи на radius, поднятом на нем же. Предположим, что фаервол ничего не блокирует Клиент на Windows 11, ВПН настроен стандартными средствами ВПН подключается, доступ в локалку есть, все ок Проблема: Если начать передавать с клиента в локалку какой-либо файл, то после передачи примерно 200 мб доступ в локалку обрывается, пакеты не идут, ВПН сессия при этом отображается как активная и на сервере и на клиенте. Микротик в лог присылает сообщение "no proposal chosen" раз в минуту Если поднять с теми же настройками IPSEC L2TP сервер - проблем с передачей файлов нет. Решение забить на IKEv2 и использовать L2TP не предлагать 😃 конфиг # model = RBD52G-5HacD2HnD /interface bridge add name=LAN port-cost-mode=short /ip address add address=172.16.0.1/24 interface=LAN network=172.16.0.0 add address=172.16.1.1/24 disabled=yes interface=LAN network=172.16.1.0 /ip pool add name=lan_pool ranges=172.16.0.150-172.16.0.199 add name=vpn_pool ranges=172.16.1.200-172.16.1.230 /ip dns set servers=77.88.8.88,77.88.8.2 /ip dhcp-client add interface=ether1 /interface bridge port add bridge=LAN interface=ether2 add bridge=LAN interface=ether3 add bridge=LAN interface=ether4 add bridge=LAN interface=ether5 internal-path-cost=10 path-cost=10 add bridge=LAN interface=wlan1 internal-path-cost=10 path-cost=10 add bridge=LAN interface=wlan2 internal-path-cost=10 path-cost=10 /ip settings set max-neighbor-entries=8192 /ipv6 settings set disable-ipv6=yes max-neighbor-entries=8192 /ip ipsec policy group add name=ike2 add name=for_ios /ip ipsec profile set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-192 add dh-group=modp1024 enc-algorithm=aes-256,aes-192 hash-algorithm=sha256 \ name=profile-ike2 prf-algorithm=sha256 add dh-group=modp1024 enc-algorithm=aes-256,aes-192 name=for_ios /ip ipsec peer add exchange-mode=ike2 name=peerike2 passive=yes profile=profile-ike2 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr lifetime=1d add auth-algorithms=sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr lifetime=1d name=\ proposal-ike2 pfs-group=none /ip ipsec identity add auth-method=eap-radius certificate=\ letsencrypt-autogen_2024-01-29T13:00:42Z,lets-encrypt-r3.pem_0 \ generate-policy=port-strict mode-config=ike2-modconf peer=peerike2 \ policy-template-group=ike2 /ip ipsec policy add dst-address=172.16.1.0/24 group=ike2 src-address=0.0.0.0/0 template=yes /ip ipsec mode-config add address-pool=vpn_pool name=ike2-modconf split-include=172.16.0.0/24 /radius add address=127.0.0.1 service=ppp,ipsec /user-manager set certificate=*0 enabled=yes /user-manager router add address=127.0.0.1 name=router1 /user-manager user add name=%ИМЯ ЮЗЕРА% /routing bfd configuration add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5 /system ntp client set enabled=yes /system ntp client servers add address=ntp0.ntp-servers.net такое себе через vpn smb гонять 3 часа назад, ded_moroz сказал: Дано: Микротик hAP AC2 с прошивкой 7.13.3 в роли роутера с поднятым сервером VPN IKEv2 по логину/паролю. Пользователи на radius, поднятом на нем же. Предположим, что фаервол ничего не блокирует Клиент на Windows 11, ВПН настроен стандартными средствами ВПН подключается, доступ в локалку есть, все ок Проблема: Если начать передавать с клиента в локалку какой-либо файл, то после передачи примерно 200 мб доступ в локалку обрывается, пакеты не идут, ВПН сессия при этом отображается как активная и на сервере и на клиенте. Микротик в лог присылает сообщение "no proposal chosen" раз в минуту Если поднять с теми же настройками IPSEC L2TP сервер - проблем с передачей файлов нет. Решение забить на IKEv2 и использовать L2TP не предлагать 😃 конфиг # model = RBD52G-5HacD2HnD /interface bridge add name=LAN port-cost-mode=short /ip address add address=172.16.0.1/24 interface=LAN network=172.16.0.0 add address=172.16.1.1/24 disabled=yes interface=LAN network=172.16.1.0 /ip pool add name=lan_pool ranges=172.16.0.150-172.16.0.199 add name=vpn_pool ranges=172.16.1.200-172.16.1.230 /ip dns set servers=77.88.8.88,77.88.8.2 /ip dhcp-client add interface=ether1 /interface bridge port add bridge=LAN interface=ether2 add bridge=LAN interface=ether3 add bridge=LAN interface=ether4 add bridge=LAN interface=ether5 internal-path-cost=10 path-cost=10 add bridge=LAN interface=wlan1 internal-path-cost=10 path-cost=10 add bridge=LAN interface=wlan2 internal-path-cost=10 path-cost=10 /ip settings set max-neighbor-entries=8192 /ipv6 settings set disable-ipv6=yes max-neighbor-entries=8192 /ip ipsec policy group add name=ike2 add name=for_ios /ip ipsec profile set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-192 add dh-group=modp1024 enc-algorithm=aes-256,aes-192 hash-algorithm=sha256 \ name=profile-ike2 prf-algorithm=sha256 add dh-group=modp1024 enc-algorithm=aes-256,aes-192 name=for_ios /ip ipsec peer add exchange-mode=ike2 name=peerike2 passive=yes profile=profile-ike2 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr lifetime=1d add auth-algorithms=sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr lifetime=1d name=\ proposal-ike2 pfs-group=none /ip ipsec identity add auth-method=eap-radius certificate=\ letsencrypt-autogen_2024-01-29T13:00:42Z,lets-encrypt-r3.pem_0 \ generate-policy=port-strict mode-config=ike2-modconf peer=peerike2 \ policy-template-group=ike2 /ip ipsec policy add dst-address=172.16.1.0/24 group=ike2 src-address=0.0.0.0/0 template=yes /ip ipsec mode-config add address-pool=vpn_pool name=ike2-modconf split-include=172.16.0.0/24 /radius add address=127.0.0.1 service=ppp,ipsec /user-manager set certificate=*0 enabled=yes /user-manager router add address=127.0.0.1 name=router1 /user-manager user add name=%ИМЯ ЮЗЕРА% /routing bfd configuration add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5 /system ntp client set enabled=yes /system ntp client servers add address=ntp0.ntp-servers.net Попробовать оставить в profile aes-128 + DH 1024 (на cisco это старые протоколы, deprecated, но рекомендуются для устаревших устройств) проверить, проверить на aes 256 +DH 2048 (win 11 новое, может она через 30 минут пересогласовывает и не может) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ded_moroz Posted February 2, 2024 В общем я сам себе в ногу выстрелил, похоже. В policy был дефолтный proposal от L2TP, полностью отключил его и все ок. С такими настройками работает, проверял клиентов на Win7/10/11 iPhone /ip ipsec policy add dst-address=172.16.1.0/24 group=ike2 proposal=proposal-ike2 src-address=0.0.0.0/0 template=yes /ip ipsec proposal add lifetime=1d name=proposal-ike2 pfs-group=none auth-algorithms=sha1 enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /ip ipsec profile add name=profile-ike2 dh-group=modp1024,modp2048 enc-algorithm=3des,aes-128 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted February 2, 2024 4 часа назад, ded_moroz сказал: В общем я сам себе в ногу выстрелил, похоже. В policy был дефолтный proposal от L2TP, полностью отключил его и все ок. С такими настройками работает, проверял клиентов на Win7/10/11 iPhone /ip ipsec policy add dst-address=172.16.1.0/24 group=ike2 proposal=proposal-ike2 src-address=0.0.0.0/0 template=yes /ip ipsec proposal add lifetime=1d name=proposal-ike2 pfs-group=none auth-algorithms=sha1 enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /ip ipsec profile add name=profile-ike2 dh-group=modp1024,modp2048 enc-algorithm=3des,aes-128 Я бы ещё отрубил auth 192 и encr 3des Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
