PfSense 2.2.6 и mikrotik site-to-site over IPSEC

werter

https://bozza.ru/art-247.html

Проблема: при абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение.

При этом в лог Mikrotik идет сообщение "failed to pre-process ph2 packet", а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности…

Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).

Решение: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в IP - IPSec - Peers в поле Policy Template Group.

werter

2 derwin

Гуглил по фразе failed to pre-process ph2 packet

У нас с Вами интернеты разные ? Или кто-то из нас двоих оч. ленив ?

derwin

@werter:

2 derwin

Гуглил по фразе failed to pre-process ph2 packet

У нас с Вами интернеты разные ? Или кто-то из нас двоих оч. ленив ?

это всё пройденный этап. Прочтите мой первый пост, я там написал "описанные рекомендации по ссылке к результату не приводят". Пожалуйста, без оскорблений.

RBOS последний - 6,34
failed to pre-process ph2 packet - гугл говорит мол, делайте одинаковые proposals - 100 раз уже проверил.
Problem was that inside IPSEC Peer definition there was Policy Group: default – знатная проблема, мне не помогло.
disable unity - помогло частично, первая фаза не отваливается. Но проблема на 2й....

Buch

У меня туннель поднимается SA создаются но другая проблема: из сети rb в сеть за pf я нормально попадаю, трафик ходит в обоих направлениях, а вот из сети pf в сеть за rb попасть не могу. Причем я вижу счетчик SA на rb увеличивается (видимо режется фаером). Пока забросил, но свои настройки покажу.


# feb/02/2016 19:43:10 by RouterOS 6.34

/ip ipsec policy group
set

/ip ipsec proposal
set [ find default=yes ] disabled=no enc-algorithms=3des

/ip ipsec peer
add address=***PF-IP***/32 disabled=yes dpd-interval=disable-dpd enc-algorithm=aes-256 secret=**********

/ip ipsec policy
set 0 disabled=no
add disabled=no dst-address=192.168.0.0/23 sa-dst-address=***PF-IP*** sa-src-address=***RB-IP*** src-address=192.168.88.0/24 tunnel=yes

1pf.png_thumb

2pf.png_thumb

3pf.png_thumb

werter

2 derwin

Прошу прощения, если оскорбил.

Попробуйте описать\поднять проблему еще раз на англоветке. Или вообще подать заявку на баг.

Как вариант - спросить на форуме МТ. Возможно, что проблема не с пф.

smils

@derwin:

Не работает IPSEC с микротиком!
Нагуглил проблему в буржуйской ветке https://forum.pfsense.org/index.php?topic=87333.15 описание совпадает с моей проблемой.

Хочу спросить, есть у кого нибудь рабочие линки пф+микротик через ipsec?
PS: описанные рекомендации по ссылке к результату не приводят. Вторая фаза не стартует, SA не прилетают.

Pfsense 2.1.5 - MikroTik 6.32
работает

: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в IP - IPSec - Peers в поле Policy Template Group.

derwin

у меня уже опускаются руки…..

У меня есть следующие новости:
Я взял 3 микротика и собрал стенд. Дык вот! На первом IPSEC взлетает с пол пинка. На втором - поднимается быстро после запуска системы, но если он рвётся, то уже сам не поднимается ни при каких обстоятельствах :) нужно делать сброс на дефолт (да-да!). На третьем - вообще из коробки не получилось поднять. МИкротики разных моделей :)

Дальше ИНТЕРЕСНЕЕ, там где поднимается туннель: из локальной сети pf в сеть микротика я хожу свободно. А вот обратно - пинг ходит, а вот TCP/UDP - нет. Ощущение, как будто дешифруется входящий траффик неправильно. Или обрезается.

Склоняюсь к тому, что проблема на стороне микротика. Они каждый месяц пилят IPSEC. Версия RB OS 6.34

Пока что заброшу это дело на пару месяцев, подожду пару релизов mk + pf, может, что то исправится.

Хочу попутно приспроситься - какие варианты есть для использования IPSEC в multi-WAN решениях? Такие линки в интерфейсы не добавить, как и в группы интерфейсов.

PbIXTOP

http://habrahabr.ru/post/272061/
Вот интересная статья по поводу многосвязоности.

vadimkara

у меня работает 2.2.6 с микротиками по ипсек обрщайтесь

Buch

@vadimkara:

у меня работает 2.2.6 с микротиками по ипсек обрщайтесь

А можно взгянуть на Ваши настройки?
Настраивали микротик после полного сброса (удаления всей конфигурации) или добавляя то что было из коробки?

vadimkara

дам сразу несколько советов на микротике создавайте пир вручную и отключайте DPD, на пфсенсе все далайте как в манах которых куча по сети у меня стоит икея в1 и аес 128 на обоих стадиях. И да не забывайте срк нат прописывать на микротике.

vadimkara

:)
И если после настройки у вас все равно не конектит просто вручкю убейте все уже выданные сертификаты на микротике.

phase1.png_thumb

phase2.png_thumb

rules.png_thumb

result.png_thumb

group.png_thumb

proposal.png_thumb

peer.png_thumb

policy1.png_thumb

policy2.png_thumb

nat.png_thumb

firewall1.png_thumb

werter

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

Buch

Спасибо за скрины, нашел у себя ошибочку с группами. Но одно пока не понятно: со стороны микротика нет доступа к сети за pf до тех пор пока не пинганешь с другой стороны и все это работает пока висят states

vadimkara

Проверяй фаер пфсенса разреши все протоколы и все состояния с локальной сети в удаленную. И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.

vadimkara

@werter:

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

Buch

@vadimkara:

Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

Какая у Вас скорость на aes128? В моем случае это 30-40 Мбит.

derwin

@werter:

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

оффтоп.
а чем вас 128 не устраивает?
как дипломированный специалист по криптографии, могу ответственно заявить, что для дешифровки алгоритма в обозримом будущем ещё не придумали технических мощностей.
Даже если есть алгоритмы со 192 или 256 битным шифрованием - это всё равно что бесконечность умножать на 2 или даже на 10 - всё равно получится бесконечность.

derwin

а кто знает, зачем нужно вот это? https://forum.pfsense.org/index.php?action=dlattach;topic=106103.0;attach=75143;image
как можно использовать ipsec в multi-wan решениях? объединяя несколько линков в failower Группу например….

derwin

@vadimkara:

И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.

посмотрел все свои маршрутеры - нигде эта галочка не отмечена.
По описанию весьма смутно представляю зачем она нужно.
Расскажите пожалуйста, какие у меня изза отсудствия галочки есть проблемы. Статические маршруты имеются, включая 2 линка LAN-to-2LAN через failower группу