Zdravím,
předem se omlouvám za mojí neerudovanost v oblasti sítí, ale mám jeden problém, který se snažím už nějakou dobu vyřešit a nedaří se mi.
Třeba se nám tu podaří zjistit co je špatně
Snažím se navázat VPN podle přiložené konfigurace.
Věc, která to komplikuje je, že mt router je až za ADSL modemem (ZyXEL). Nastavil jsem proto na ZyXELu pro mikrotik DMZ.
VPN je typu IKE a daří se mi navázat Phase1 spojení.
v IP->IPsec->Remote Peers vidím, že je spojeno (pokud se pletu, prosím opravte mě)
Problém je, že v IPsec->Policies u založeného záznamu vidím, že PH2 State = no phase2
V logu se objevují hlášky:
52.57.130.45 failed to pre-process ph2 packet
52.57.130.45 peer sent packet for dead phase2
Přikládám screen s dodanou konfigurací vpn (když jsem měl v IPsec Peer->ExchangeMode: IKE2, tak jsem nenavázal ani phase1) -
Screen s nastavením mikrotiku -
vyexportovaný cfg -
Nevíte co s tím?
Předem moc děkuji za reakce!
EDIT:
Od doby, kdy mi bylo odesláno přiložené nastavení VPN se pár věcí změnilo po telefonu s druhou stranou
IPSEC Proposal -> PFS Group: modp 1024 (change to 2048)
IPSEC Profile -> Lifetime : 1d (change to 1440 seconds)
Proto cfg neodpovídá přesně screenshotu zadání
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
IPsec VPN - no phase2
-
- Příspěvky: 7
- Registrován: 4 years ago
-
- Příspěvky: 7
- Registrován: 4 years ago
Na mikrotik fóru mi s tím začal pomáhat jeden týpek, ale nedaří se nám.
Druhá strana mě přesvědčuje, že takhle zprovoznili už hromadu připojení, tak se mi nezdá, že by byl problém tam.
Nemáte k tomu nějaký postřeh? Díky!
https://forum.mikrotik.com/viewtopic.php?f=2&t=150445
Druhá strana mě přesvědčuje, že takhle zprovoznili už hromadu připojení, tak se mi nezdá, že by byl problém tam.
Nemáte k tomu nějaký postřeh? Díky!
https://forum.mikrotik.com/viewtopic.php?f=2&t=150445
0 x
- sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Já teda nevím, postavil jsem už spousty IPseců mezi různými vendory, ale... nemělo by to být náhodou IKEv1 a ne v2? Teda, tak to alespoň stavím já.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
-
- Příspěvky: 7
- Registrován: 4 years ago
No, z druhé strany jsem dostal povel, ať exchange mode na peeru změním z IKEv2 na "main".
Není to náhodou IKEv1?
Není to náhodou IKEv1?
0 x
- sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
johny_morte píše:No, z druhé strany jsem dostal povel, ať exchange mode na peeru změním z IKEv2 na "main".
Není to náhodou IKEv1?
Já bych rozhodně stavěl IKEv1
masky máš správně na obouch stranách? Opravdu posíláš jen /32?
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
-
- Příspěvky: 7
- Registrován: 4 years ago
No, to je další věc.. Třeba mi to trochu vysvětlíš
Jak je vidět na tom mt fóru v prvním příspěvku na obrázku se sítí.
Jako první zařízení je bohužel ten ZyXEL router(10.0.0.138), kterej má 10.0.0.0/8
a pak je tam za ním mikrotik(10.0.0.50), za kterým je síť 10.0.1.0/28
Druhé straně jsme měl poslat "Encryption domain" a dal jsem jim 10.0.1.0/28
Je to dobře?
Jak je vidět na tom mt fóru v prvním příspěvku na obrázku se sítí.
Jako první zařízení je bohužel ten ZyXEL router(10.0.0.138), kterej má 10.0.0.0/8
a pak je tam za ním mikrotik(10.0.0.50), za kterým je síť 10.0.1.0/28
Druhé straně jsme měl poslat "Encryption domain" a dal jsem jim 10.0.1.0/28
Je to dobře?
0 x
- sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Jasný, to je v pohodě. Ten Zyxel nepotřebuje vědět o té LANce 10.0.1.0/28, protože tu si balíš do IPsecu na tom MT (10.0.0.50).
Evidentně máš misconfiguraci mezi těma dvěma krabicema.
Zkus si doplnit na MK do IPsec/Policy i masky, Src/Dst máš bez masek.
Ideálně, pokud máš možnost poslat přístupy, můžu na to kouknout.
Evidentně máš misconfiguraci mezi těma dvěma krabicema.
Zkus si doplnit na MK do IPsec/Policy i masky, Src/Dst máš bez masek.
Ideálně, pokud máš možnost poslat přístupy, můžu na to kouknout.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
-
- Příspěvky: 7
- Registrován: 4 years ago
To by si byl zlatej, přístup můžu udělat. Nejsi na nějakém instant messengeru?
0 x
- sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
johny_morte píše:To by si byl zlatej, přístup můžu udělat. Nejsi na nějakém instant messengeru?
pošli mi to tady do PM pls
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
-
- Příspěvky: 7
- Registrován: 4 years ago
- sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
johny_morte píše:Funguje!
ipsec peer src-address=10.0.1.0/28 a je to díky všem
IPsec/Policy src-address
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..