IPSec tunel na APN T-Mobile

[s0uky]

Tak jsem psal do T-M ohledně toho IPSecu a dozvěděl jsem se od nich pouze toto:

isakmp { ike1}-
standardne authentication pre-share, 3des, D-H group 2 , hash sha1, lifetime 86400 sec, ip identity a preshared key - muze byt i jina kombinace mame prednastaveno asi 10-15 kombinaci - vzhledem k druhe fazi se asi take chytame na des -

ipsec – {ike2}
esp-des ( uz si nepamatuji proc neni 3des ), esp-sha-hmac, tunnel mode , lifetime 3600 sec – neni zapnuto pfs

Nicméně se mi stále nedaří IPSec rozjet, už mi to není jasný proč

[Majklik]

To je takové obecné nastavení, s kterým by RB neměl mít potíže, rozhodně bych si vloučil použití DES a podobných volovin.

A co znamená, že tunelk se neustanoví? Je, doufám, známe, že IPsec tunel se začne ustnaovvoat až v okamžiku nutnosti přenášet data na které s emá aplikovat a ne ve chvíli, kdy ho naklikáte? A s ohledme na ukázenou konfiguraci od ok2slc obsahující:
ip ipsec peer
add address=62.141.11.7/32 comment=T-Mobile hash-algorithm=sha1 secret=\
"xxx" send-initial-contact=no
tak k tomu navazování dochází ze strany Tmobile, čili až bude nějaký požadavke přenášet odata od TM směrem k MKčku. To dělá to send-initial-contact=no, s tím i při pokusu přenášet data z MK k TM se nebude nic dít, dokud se IKE vyjednávání nezahájí směrem od TM (čili dokud nebude aktivita na tom APN).
A pak je to už jen o tom, o se objeví v logu, ideálně zaponout debug na ipsec...

[s0uky]

Tak IPSec na APN jiz funguje!
Bylo to souhrou nahod a chyby v nastaveni (odhalil jsem pri dukladne kontrole logu), pri phase 2 jsem musel zmenit sifrovani z 3des na des, jinak mi to nejelo, ted jiz vse v pohode, uvidime co udela zatezovy test:-)

Diky vsem za rady!

[Majklik]

Jestli mají pro IPSec opravdu povoleno pouze DES, tak to jdou dost patlalové... JSme v tom prvně četl DES nebo 3DES. S tím už dneska řada implementací neumí spolupracovat, že to mají zakázáno jao zcela slabé šifrování. To tam TM v rám ci úspor dal nějaký krám, co nemá šifrovací akcelerátor, tak takto se ho snaží nepřetížit?

[s0uky]

Vubec nevim z jakeho duvodu tam je pouze DES, ale mam takove tuseni, ze tech par let zpatky co se to realizovalo na „hloupem“ zarizeni od 3Com, tak v nastaveni toho 3Comu nebyla moznost vyuzit 3DES, tak asi proto. TM ma na jejich strane nejaky Cisco, ale co presne, to nedokazu rict

[joker]

A) Jaky pouzivate 3g modemy? Slysel jsem, ze nektere usb huywei modemy po urcite dobe zamrznou a pomuze pouze power off/on... Zatim se mi ti stalo pouze jednou - nutnost dojet k modemu, ale uz jsem o tom dost slysel (reboot stroje nepomaha).

B) Jaky doporucujete nastaveni na ipsec? Nekde jsem videl navod, jak ipsec s povolenymi temi starymi siframi brejknout (mitm nebo co)...

[oliver.es]

Ahoj, snažím se rozjet L2TP přes IPsec tak aby fungoval přes T-Mobile, ale nedaří se mi. Někde jsem slyšel, že to TMCZ blokuje. Ono mi totiž připojení přes jiného operátora funguje. Tady ale někdo psal že mu to běží. Tak jak to tedy je ? Popřípadě kdyby mi sem někdo postnul funkční nastavení IPsec na Mikrotik serveru, tak bych byl moc vděčný.

Děkuji