Mikrotik ipsec no suitable proposal found

Mikrotik ipsec no suitable proposal found

При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.

Proxy-arp на внутреннем бридже

При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.

Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.

Глюк default policy на микротик

При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение "failed to pre-process ph2 packet", а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).

Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.

По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:

ip ipsec peer set 0 policy-template-group=*FFFFFFFF

Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.

Читайте также:  Thermo mark термометр инструкция по применению

Ошибки firewall на всех этапах

Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input — серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.

By JC | February 18, 2018 | Comments 3 comments

Troubleshooting a MikroTik VPN configuration can be frustrating if you do not know where to look. This article is specificly about troubleshooting L2TP over IPSec Remote Access VPNs on RouterOS.

Below are RouterOS configuration areas that relate to L2TP over IPSec.

Click to Enlarge

Here are the steps to verify and troubleshoot Remote VPN connections to a MikroTik Router using L2TP over IPSec.

  1. Ensure that proper firewall ports are open – More info on Mikrotik L2TP/IPSec Firewall Rules here
  2. Verify that the L2TP server is enabled
  3. IPSec secret matches on router and client
  4. Verify that a compatible IPSec proposal is configured
  5. Verify that PPP Profile and IP Pool is configured
  6. Make sure PPP username/password matches

Is your L2TP Server Enabled? Verify IPSec secret (PreShared Key)

  1. In Winbox, click PPP > Interfaces > L2TP Server
  2. [x] Enable should be checked
  3. Use IPSec: yes
  4. Set IPSec Secret: your-ipsec-psk

Verify IPSec proposal

  1. In Winbox, click IP > IPsec > Proposals
  2. Double click default
  3. Auth Algorithms: [x] sha1
  4. Encr. Algorithms: [x] aes-192-cbc, [x] aes-256-cbc

Note: The above proposal is compatible with iOS iPhones / iPads.
If you must support clients older operating systems (such as Windows XP), a different proposal may be required.

Verify PPP Profile & IP Pool

  1. In Winbox, click PPP > Profiles
  2. Default a Local Address
  3. Specify VPN IP Pool
  4. If a IP pool needs to be create, goto .IP > Pool
Читайте также:  Мигает значок молния на принтере canon

Verify PPP credentials

VPN username accounts are defined in RouterOS as PPP Secrets.
PPP > Secrets

GitHub is home to over 40 million developers working together to host and review code, manage projects, and build software together.

Mikrotik / README.md

Users who have contributed to this file

Scripts for L2TP protection

I spent a lot of time in search of information about L2TP protection. I found couple posts which helped me to write first part of that instruction. The first third of the protection of L2TP is firewall rules. They are monitoring and blocking connections from blacklist and preventing password brutforce.

I think that there is no need to explain them, but one thing I have to admit, that you will be forced to change interface name from ether1-WAN to your WAN interface.

I will try to reproduce attackers actions and connect to my L2TP network. Server (Mikrotik) runs l2tp+ipsec server. So you need such information: hostname or IP, proposal, IPSec Secret, user and password. You can using various port scanners for searching IP address, but for other items you have to use brutforce. First I’ve created new VPN connection on Windows 7 and used such parameters: l2tp+ipsec encryption (valid), proposal (valid), IPSec Secret ( valid) and invalid user+password combination. Image yourself that cracker picked up proposal and IPSec Secret. On Mikrotik side our counters (firewall rules) were working and after several attempts with various user+pass combs my IP was blocked. In additional the record " user user authentification failed." was appearing in Mikrotik logs every time when I tried to connect. My test user+pass combination was user user ))

Читайте также:  Запуск в безопасном режиме через биос

I was getting Error #691 on Windows every time when I tried to connect with invalid user+password. After I was banned it became impossible to connect to vpn at all.

Now I changed configuration on Windows side and it’s become to such form: l2tp+ipsec encription (valid), proposal (valid), IPSec Secret (invalid) and user+password combination (invalid).

In such situation previous rules can’t help, but next records were appearing in Mikrotik’s logs. Five strings with: 192.168.1.15 parsing packet failed, possible couse: wrong password and one string with: phase1 negotiation failed due to time up 11.32.86.22[500] 192.168.1.15[500]

So I decided to write script to process first string and that’s what I got:

In the third time I changed VPN connection on Windows again and that’s what I got: l2tp+ipsec encription (valid), proposal (invalid), IPSec Secret (valid) and user+password combination (invalid).

After that I tried to connect to server and an error was appeared. I found such records in Mikrotik log:

no suitable proposal found 192.168.1.15 failed to pre-process ph2 packet

So I changed couple strings in initial script and got second one. As a result, I solved a problem with Mikrotik L2TP server protection.

All these instructions helped me to protect Mikrotik devices, but I noticed that there are is a lot of such records in log:

Ссылка на основную публикацию
Ipack пакеты для windows 10
В избранное Файл обновлен: 29 ноября 2016 Скачиваний: 5009 Размер: 25,24 Mb Название: Steampunk Год выпуска: 2016 Лицензия: Бесплатно Платформа:...
Asus k56c установка ssd
Запись сделана для тех, кто собирается делать аналогичный апгрейд своего Asus N56VZ, но безболезненно и без танцев с бубнами. А...
Asus x551m как обновить биос
BIOS предустановлен в каждое цифровое устройство по умолчанию, будь то стационарный компьютер или ноутбук. Его версии могут различаться в зависимости...
Kms connection broker что это
Привет У себя в винде нашел процесс SppExtComObj.Exe — интересно написано название, будто кто-то спецом писал то большую букву то...
Adblock detector