classic.ISPforum.cz

Zdravím,
předem se omlouvám za mojí neerudovanost v oblasti sítí, ale mám jeden problém, který se snažím už nějakou dobu vyřešit a nedaří se mi.
Třeba se nám tu podaří zjistit co je špatně
Snažím se navázat VPN podle přiložené konfigurace.
Věc, která to komplikuje je, že mt router je až za ADSL modemem (ZyXEL). Nastavil jsem proto na ZyXELu pro mikrotik DMZ.

VPN je typu IKE a daří se mi navázat Phase1 spojení.
v IP->IPsec->Remote Peers vidím, že je spojeno (pokud se pletu, prosím opravte mě)
Problém je, že v IPsec->Policies u založeného záznamu vidím, že PH2 State = no phase2
V logu se objevují hlášky:
52.57.130.45 failed to pre-process ph2 packet
52.57.130.45 peer sent packet for dead phase2

Přikládám screen s dodanou konfigurací vpn (když jsem měl v IPsec Peer->ExchangeMode: IKE2, tak jsem nenavázal ani phase1) -
Screen s nastavením mikrotiku -
vyexportovaný cfg -

Nevíte co s tím?

Předem moc děkuji za reakce!

EDIT:
Od doby, kdy mi bylo odesláno přiložené nastavení VPN se pár věcí změnilo po telefonu s druhou stranou
IPSEC Proposal -> PFS Group: modp 1024 (change to 2048)
IPSEC Profile -> Lifetime : 1d (change to 1440 seconds)
Proto cfg neodpovídá přesně screenshotu zadání

MK je ocividne za NATem. Zkousels zatrhnout nat traversal?

Zkoušel, pak na jejich IP ani nepingnu.

Na mikrotik fóru mi s tím začal pomáhat jeden týpek, ale nedaří se nám.
Druhá strana mě přesvědčuje, že takhle zprovoznili už hromadu připojení, tak se mi nezdá, že by byl problém tam.

Nemáte k tomu nějaký postřeh? Díky!
https://forum.mikrotik.com/viewtopic.php?f=2&t=150445

Já teda nevím, postavil jsem už spousty IPseců mezi různými vendory, ale... nemělo by to být náhodou IKEv1 a ne v2? Teda, tak to alespoň stavím já.

No, z druhé strany jsem dostal povel, ať exchange mode na peeru změním z IKEv2 na "main".
Není to náhodou IKEv1?

johny_morte píše:No, z druhé strany jsem dostal povel, ať exchange mode na peeru změním z IKEv2 na "main".
Není to náhodou IKEv1?

Já bych rozhodně stavěl IKEv1
masky máš správně na obouch stranách? Opravdu posíláš jen /32?

No, to je další věc.. Třeba mi to trochu vysvětlíš
Jak je vidět na tom mt fóru v prvním příspěvku na obrázku se sítí.
Jako první zařízení je bohužel ten ZyXEL router(10.0.0.138), kterej má 10.0.0.0/8
a pak je tam za ním mikrotik(10.0.0.50), za kterým je síť 10.0.1.0/28

Druhé straně jsme měl poslat "Encryption domain" a dal jsem jim 10.0.1.0/28

Je to dobře?

Jasný, to je v pohodě. Ten Zyxel nepotřebuje vědět o té LANce 10.0.1.0/28, protože tu si balíš do IPsecu na tom MT (10.0.0.50).
Evidentně máš misconfiguraci mezi těma dvěma krabicema.
Zkus si doplnit na MK do IPsec/Policy i masky, Src/Dst máš bez masek.
Ideálně, pokud máš možnost poslat přístupy, můžu na to kouknout.

To by si byl zlatej, přístup můžu udělat. Nejsi na nějakém instant messengeru?

johny_morte píše:To by si byl zlatej, přístup můžu udělat. Nejsi na nějakém instant messengeru?

pošli mi to tady do PM pls

Funguje!

ipsec peer src-address=10.0.1.0/28 a je to díky všem

johny_morte píše:Funguje!

ipsec peer src-address=10.0.1.0/28 a je to díky všem

IPsec/Policy src-address