Dobrý den,
snažím se nastavit L2TP x WIN10 pomocí předsdíleného klíče a secrets. Prošel jsem témata zde na fóru i v zahraničí ale stále mi MK v logu píše tuto chybu a spojení ofc nelze navázat:
respond new phase 1 (Identity Protection): Mikrotik_IP[500]<=>x.x.x.x[12345]
x.x.x.x failed to get valid proposal.
x.x.x.x failed to pre-process ph1 packet (side: 1, status 1).
x.x.x.x phase1 negotiation failed.
Věděl by někdo co s tím?
Díky
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
L2TP/IPSEC
Bylo by prima poskytnout bud konfiguraci, nebo alespoň zdroj, podle kterého bylo postupovano. Obvykle není dobre kombinovat vice postupu.
0 x
Kód: Vybrat vše
/ip ipsec policy group
add name=L2TP/IPSEC
/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=L2TP/IPSEC pfs-group=modp4096
/ip pool
add name=IPSEC/L2TP ranges=192.168.168.200-192.168.168.210
/ppp profile
set *0 only-one=no
add dns-server=8.8.8.8,8.8.4.4 local-address=192.168.88.1 name="pptp profile" only-one=no remote-address=ppp use-compression=yes use-encryption=required
add comment=L2TP/IPSEC local-address=192.168.88.1 name=L2TP/IPSEC remote-address=IPSEC/L2TP use-encryption=yes use-upnp=no
set *FFFFFFFE only-one=no
/interface l2tp-server server
set authentication=mschap2 default-profile=L2TP/IPSEC enabled=yes ipsec-secret=xxx max-mru=1460 max-mtu=1460 use-ipsec=yes
/ip dhcp-server network
add address=192.168.88.0/24 comment="LAN - DHCP" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.1
add address=192.168.168.0/24 comment="VPN L2TP/IPSEC" dns-server=8.8.8.8,4.4.4.4 gateway=192.168.168.1
/ip firewall filter
add action=accept chain=input comment=IKE&NAT-T connection-state=new dst-port=500,1701,4500 protocol=udp
add action=accept chain=output comment=IKE&NAT-T dst-port=500,1701,4500 protocol=udp
add action=accept chain=input comment=IPSEC-AH protocol=ipsec-ah
add action=accept chain=input comment=IPSEC-ESP protocol=ipsec-esp
add action=accept chain=input comment=IPSEC dst-port=1701 protocol=udp
add action=accept chain=input comment=IPSEC dst-port=500 protocol=udp
add action=accept chain=input comment=IPSEC dst-port=4500 protocol=udp
/ip ipsec peer
add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\
heslo send-initial-contact=no
/ppp secret
add comment=USER name=USER password=heslo profile=L2TP/IPSEC service=l2tp
tohle je aktuální který jsem našel tady na fóru, postupu bylo více pokaždé jsem začal od 0 ať z toho předešlého nic nezbyde.....
0 x
MK log vypisuje, ze se strany nedokazi domluvit na sifrovani a spojeni je ukonceno hned v prvni fazi.
Zapni si logovani IPSec a zjisti co pozaduje windows a co nabizi Mikrotik. - /system logging> add topics=ipsec,!debug
Pokud by jsi z vypisu nevedel jak doupravit nastaveni tak sem postni vypis logu.
Reseni tohoto problemu je popsano i na wiki
Zdroj:
https://wiki.mikrotik.com/wiki/Manual:I ... ting.2FFAQ
Zapni si logovani IPSec a zjisti co pozaduje windows a co nabizi Mikrotik. - /system logging> add topics=ipsec,!debug
Pokud by jsi z vypisu nevedel jak doupravit nastaveni tak sem postni vypis logu.
Reseni tohoto problemu je popsano i na wiki
Zdroj:
https://wiki.mikrotik.com/wiki/Manual:I ... ting.2FFAQ
0 x
Podle logu je to tak jak říkáš ale teď jak to nastavit ať si WIN10 a MK navzájem vyhoví... zkoušel jsem to naklikat ale log je pořád stejný
Kód: Vybrat vše
psec,info respond new phase 1 (Identity Protection): X.X.X.X[500]<=>X.X.X.X[5]
15:37:38 ipsec received long Microsoft ID: MS NT5 ISAKMPOAKLEY
15:37:38 ipsec received Vendor ID: RFC 3947
15:37:38 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
15:37:38 ipsec
15:37:38 ipsec received Vendor ID: FRAGMENTATION
15:37:38 ipsec Fragmentation enabled
15:37:38 ipsec xxx.xxx.xxx.xxx Selected NAT-T version: RFC 3947
15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 1024-bit MODP group:384-bit random ECP group
15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#2) = 1024-bit MODP group:256-bit random ECP group
15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 1024-bit MODP group:2048-bit MODP group
15:37:38 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = AES-CBC:3DES-CBC
15:37:38 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 1024-bit MODP group:2048-bit MODP group
15:37:38 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#5) = AES-CBC:3DES-CBC
0 x
modp1024 ne nedoporucuje a je povazovan za prolomitelny, min. se doporucuje modp2048
Moznosti peeru jsi si omezil sam timto:
/ip ipsec peer
add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\
heslo send-initial-contact=no
Bud nastav
/ip ipsec peer
add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp2048 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\
heslo send-initial-contact=no
nebo otevri winbox a podivej se co je realne povoleno, u me kdyz zadam prikazy, ktere jsi popsal tak mam v default povoleno jen SHA-1, takze koukni manualne a povol kombinaci vyssiho zabezpeceni tj SHA256+SHA512 a vyssi groupy modp2048 + modp4096. U IPSEC muzes ponechat modp4096 ale povol v proposals dalsi SHA a u nastaveni pro peer vyber jako minimum modp2048+4096 a zaroven take povol SHA256+SHA512
btw: Pokud nemas v zarizeni na kterem to nastavujes HW akceleraci tak s nejakymi zavratnymi rychlostmi nepocitej. Pokud se nepletu tak momentalne je na trhu nejlevnejsi krabicka se zakladni HW akceleraci RB750Gr3 (hEX)
https://wiki.mikrotik.com/wiki/Manual:I ... encryption
Moznosti peeru jsi si omezil sam timto:
/ip ipsec peer
add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\
heslo send-initial-contact=no
Bud nastav
/ip ipsec peer
add address=0.0.0.0/0 comment=L2TP/IPSEC dh-group=modp2048 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes policy-template-group=L2TP/IPSEC secret=\
heslo send-initial-contact=no
nebo otevri winbox a podivej se co je realne povoleno, u me kdyz zadam prikazy, ktere jsi popsal tak mam v default povoleno jen SHA-1, takze koukni manualne a povol kombinaci vyssiho zabezpeceni tj SHA256+SHA512 a vyssi groupy modp2048 + modp4096. U IPSEC muzes ponechat modp4096 ale povol v proposals dalsi SHA a u nastaveni pro peer vyber jako minimum modp2048+4096 a zaroven take povol SHA256+SHA512
btw: Pokud nemas v zarizeni na kterem to nastavujes HW akceleraci tak s nejakymi zavratnymi rychlostmi nepocitej. Pokud se nepletu tak momentalne je na trhu nejlevnejsi krabicka se zakladni HW akceleraci RB750Gr3 (hEX)
https://wiki.mikrotik.com/wiki/Manual:I ... encryption
0 x
V současné době je tam RB750Gr3 (hEX) do měsíce až dojde zboží bude nahrazen RB1100AHx4.
Změny jsem provedl jak popisuješ ale log je beze změny.
Změny jsem provedl jak popisuješ ale log je beze změny.
0 x