classic.ISPforum.cz

Napsal: **23 Jan 2018 15:09**

Dobrý den,
snažím se nastavit L2TP x WIN10 pomocí předsdíleného klíče a secrets. Prošel jsem témata zde na fóru i v zahraničí ale stále mi MK v logu píše tuto chybu a spojení ofc nelze navázat:
respond new phase 1 (Identity Protection): Mikrotik_IP[500]<=>x.x.x.x[12345]
x.x.x.x failed to get valid proposal.
x.x.x.x failed to pre-process ph1 packet (side: 1, status 1).
x.x.x.x phase1 negotiation failed.

Věděl by někdo co s tím?

Díky

Napsal: **24 Jan 2018 08:22**

Nikdo nic?:(

Napsal: **24 Jan 2018 08:41**

Bylo by prima poskytnout bud konfiguraci, nebo alespoň zdroj, podle kterého bylo postupovano. Obvykle není dobre kombinovat vice postupu.

Napsal: **24 Jan 2018 10:09**

Kód: Vybrat vše

/ip ipsec policy group

add name=L2TP/IPSEC

/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=L2TP/IPSEC pfs-group=modp4096

/ip pool
add name=IPSEC/L2TP ranges=192.168.168.200-192.168.168.210

/ppp profile
set *0 only-one=no
add dns-server=8.8.8.8,8.8.4.4 local-address=192.168.88.1 name="pptp profile" only-one=no remote-address=ppp use-compression=yes use-encryption=required
add comment=L2TP/IPSEC local-address=192.168.88.1 name=L2TP/IPSEC remote-address=IPSEC/L2TP use-encryption=yes use-upnp=no
set *FFFFFFFE only-one=no

/interface l2tp-server server
set authentication=mschap2 default-profile=L2TP/IPSEC enabled=yes ipsec-secret=xxx max-mru=1460 max-mtu=1460 use-ipsec=yes


/ip dhcp-server network
add address=192.168.88.0/24 comment="LAN - DHCP" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.1
add address=192.168.168.0/24 comment="VPN L2TP/IPSEC" dns-server=8.8.8.8,4.4.4.4 gateway=192.168.168.1

/ip firewall filter

add action=accept chain=input comment=IKE&NAT-T connection-state=new dst-port=500,1701,4500 protocol=udp
add action=accept chain=output comment=IKE&NAT-T dst-port=500,1701,4500 protocol=udp
add action=accept chain=input comment=IPSEC-AH protocol=ipsec-ah
add action=accept chain=input comment=IPSEC-ESP protocol=ipsec-esp
add action=accept chain=input comment=IPSEC dst-port=1701 protocol=udp
add action=accept chain=input comment=IPSEC dst-port=500 protocol=udp
add action=accept chain=input comment=IPSEC dst-port=4500 protocol=udp


/ip ipsec peer
add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\
    heslo send-initial-contact=no

/ppp secret
add comment=USER name=USER password=heslo profile=L2TP/IPSEC service=l2tp

tohle je aktuální který jsem našel tady na fóru, postupu bylo více pokaždé jsem začal od 0 ať z toho předešlého nic nezbyde.....

Napsal: **29 Jan 2018 12:45**

MK log vypisuje, ze se strany nedokazi domluvit na sifrovani a spojeni je ukonceno hned v prvni fazi.
Zapni si logovani IPSec a zjisti co pozaduje windows a co nabizi Mikrotik. - /system logging> add topics=ipsec,!debug
Pokud by jsi z vypisu nevedel jak doupravit nastaveni tak sem postni vypis logu.

Reseni tohoto problemu je popsano i na wiki

Zdroj:
https://wiki.mikrotik.com/wiki/Manual:I ... ting.2FFAQ

Napsal: **31 Jan 2018 15:48**

Podle logu je to tak jak říkáš ale teď jak to nastavit ať si WIN10 a MK navzájem vyhoví... zkoušel jsem to naklikat ale log je pořád stejný

Kód: Vybrat vše

psec,info respond new phase 1 (Identity Protection): X.X.X.X[500]<=>X.X.X.X[5]
15:37:38 ipsec received long Microsoft ID: MS NT5 ISAKMPOAKLEY
15:37:38 ipsec received Vendor ID: RFC 3947
15:37:38 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
15:37:38 ipsec
15:37:38 ipsec received Vendor ID: FRAGMENTATION
15:37:38 ipsec Fragmentation enabled
15:37:38 ipsec xxx.xxx.xxx.xxx Selected NAT-T version: RFC 3947
15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 1024-bit MODP group:384-bit random ECP group
15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#2) = 1024-bit MODP group:256-bit random ECP group
15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 1024-bit MODP group:2048-bit MODP group
15:37:38 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = AES-CBC:3DES-CBC
15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 1024-bit MODP group:2048-bit MODP group
15:37:38 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#5) = AES-CBC:3DES-CBC

Napsal: **01 Feb 2018 12:40**

modp1024 ne nedoporucuje a je povazovan za prolomitelny, min. se doporucuje modp2048

Moznosti peeru jsi si omezil sam timto:
/ip ipsec peer
add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\
heslo send-initial-contact=no

Bud nastav
/ip ipsec peer
add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp2048 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\
heslo send-initial-contact=no

nebo otevri winbox a podivej se co je realne povoleno, u me kdyz zadam prikazy, ktere jsi popsal tak mam v default povoleno jen SHA-1, takze koukni manualne a povol kombinaci vyssiho zabezpeceni tj SHA256+SHA512 a vyssi groupy modp2048 + modp4096. U IPSEC muzes ponechat modp4096 ale povol v proposals dalsi SHA a u nastaveni pro peer vyber jako minimum modp2048+4096 a zaroven take povol SHA256+SHA512

btw: Pokud nemas v zarizeni na kterem to nastavujes HW akceleraci tak s nejakymi zavratnymi rychlostmi nepocitej. Pokud se nepletu tak momentalne je na trhu nejlevnejsi krabicka se zakladni HW akceleraci RB750Gr3 (hEX)

https://wiki.mikrotik.com/wiki/Manual:I ... encryption

Napsal: **01 Feb 2018 13:26**

V současné době je tam RB750Gr3 (hEX) do měsíce až dojde zboží bude nahrazen RB1100AHx4.

Změny jsem provedl jak popisuješ ale log je beze změny.

classic.ISPforum.cz

L2TP/IPSEC

L2TP/IPSEC

Re: L2TP/IPSEC

Re: L2TP/IPSEC

Re: L2TP/IPSEC

Re: L2TP/IPSEC

Re: L2TP/IPSEC

Re: L2TP/IPSEC

Re: L2TP/IPSEC