L2TP/IPSEC

gradd

Dobrý den,

snažím se nastavit L2TP x WIN10 pomocí předsdíleného klíče a secrets. Prošel jsem témata zde na fóru i v zahraničí ale stále mi MK v logu píše tuto chybu a spojení ofc nelze navázat:

respond new phase 1 (Identity Protection): Mikrotik_IP<=>x.x.x.x

x.x.x.x failed to get valid proposal.

x.x.x.x failed to pre-process ph1 packet (side: 1, status 1).

x.x.x.x phase1 negotiation failed.

Věděl by někdo co s tím?

Díky

gradd

Nikdo nic?:(

mirek_k

Bylo by prima poskytnout bud konfiguraci, nebo alespoň zdroj, podle kterého bylo postupovano. Obvykle není dobre kombinovat vice postupu.

gradd

/ip ipsec policy group

add name=L2TP/IPSEC

/ip ipsec proposal

add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=L2TP/IPSEC pfs-group=modp4096

/ip pool

add name=IPSEC/L2TP ranges=192.168.168.200-192.168.168.210

/ppp profile

set *0 only-one=no

add dns-server=8.8.8.8,8.8.4.4 local-address=192.168.88.1 name="pptp profile" only-one=no remote-address=ppp use-compression=yes use-encryption=required

add comment=L2TP/IPSEC local-address=192.168.88.1 name=L2TP/IPSEC remote-address=IPSEC/L2TP use-encryption=yes use-upnp=no

set *FFFFFFFE only-one=no

/interface l2tp-server server

set authentication=mschap2 default-profile=L2TP/IPSEC enabled=yes ipsec-secret=xxx max-mru=1460 max-mtu=1460 use-ipsec=yes

/ip dhcp-server network

add address=192.168.88.0/24 comment="LAN - DHCP" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.1

add address=192.168.168.0/24 comment="VPN L2TP/IPSEC" dns-server=8.8.8.8,4.4.4.4 gateway=192.168.168.1

/ip firewall filter

add action=accept chain=input comment=IKE&NAT-T connection-state=new dst-port=500,1701,4500 protocol=udp

add action=accept chain=output comment=IKE&NAT-T dst-port=500,1701,4500 protocol=udp

add action=accept chain=input comment=IPSEC-AH protocol=ipsec-ah

add action=accept chain=input comment=IPSEC-ESP protocol=ipsec-esp

add action=accept chain=input comment=IPSEC dst-port=1701 protocol=udp

add action=accept chain=input comment=IPSEC dst-port=500 protocol=udp

add action=accept chain=input comment=IPSEC dst-port=4500 protocol=udp

/ip ipsec peer

add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\

heslo send-initial-contact=no

/ppp secret

add comment=USER name=USER password=heslo profile=L2TP/IPSEC service=l2tp

tohle je aktuální který jsem našel tady na fóru, postupu bylo více pokaždé jsem začal od 0 ať z toho předešlého nic nezbyde.....

majki

MK log vypisuje, ze se strany nedokazi domluvit na sifrovani a spojeni je ukonceno hned v prvni fazi.

Zapni si logovani IPSec a zjisti co pozaduje windows a co nabizi Mikrotik. - /system logging> add topics=ipsec,!debug

Pokud by jsi z vypisu nevedel jak doupravit nastaveni tak sem postni vypis logu.

Reseni tohoto problemu je popsano i na wiki

Zdroj:

https://wiki.mikrotik.com/wiki/Manual ... ting.2FFAQ

gradd

Podle logu je to tak jak říkáš ale teď jak to nastavit ať si WIN10 a MK navzájem vyhoví... zkoušel jsem to naklikat ale log je pořád stejný

psec,info respond new phase 1 (Identity Protection): X.X.X.X[500]<=>X.X.X.X[5]

15:37:38 ipsec received long Microsoft ID: MS NT5 ISAKMPOAKLEY

15:37:38 ipsec received Vendor ID: RFC 3947

15:37:38 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

15:37:38 ipsec

15:37:38 ipsec received Vendor ID: FRAGMENTATION

15:37:38 ipsec Fragmentation enabled

15:37:38 ipsec xxx.xxx.xxx.xxx Selected NAT-T version: RFC 3947

15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 1024-bit MODP group:384-bit random ECP group

15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#2) = 1024-bit MODP group:256-bit random ECP group

15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 1024-bit MODP group:2048-bit MODP group

15:37:38 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = AES-CBC:3DES-CBC

15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 1024-bit MODP group:2048-bit MODP group

15:37:38 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#5) = AES-CBC:3DES-CBC

majki

modp1024 ne nedoporucuje a je povazovan za prolomitelny, min. se doporucuje modp2048

Moznosti peeru jsi si omezil sam timto:

/ip ipsec peer

heslo send-initial-contact=no

Bud nastav

/ip ipsec peer

add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp2048 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\

heslo send-initial-contact=no

nebo otevri winbox a podivej se co je realne povoleno, u me kdyz zadam prikazy, ktere jsi popsal tak mam v default povoleno jen SHA-1, takze koukni manualne a povol kombinaci vyssiho zabezpeceni tj SHA256+SHA512 a vyssi groupy modp2048 + modp4096. U IPSEC muzes ponechat modp4096 ale povol v proposals dalsi SHA a u nastaveni pro peer vyber jako minimum modp2048+4096 a zaroven take povol SHA256+SHA512

btw: Pokud nemas v zarizeni na kterem to nastavujes HW akceleraci tak s nejakymi zavratnymi rychlostmi nepocitej. Pokud se nepletu tak momentalne je na trhu nejlevnejsi krabicka se zakladni HW akceleraci RB750Gr3 (hEX)

https://wiki.mikrotik.com/wiki/Manual ... encryption

gradd

V současné době je tam RB750Gr3 (hEX) do měsíce až dojde zboží bude nahrazen RB1100AHx4.

Změny jsem provedl jak popisuješ ale log je beze změny.