faq обучение настройка
Текущее время: Ср дек 11, 2019 08:50

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
 Заголовок сообщения: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Сб дек 22, 2018 20:08 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 310
Здравствуйте!
Задача настроить ipsec тунель между DFL-260E и Mikrotik RB1100AHx4.
Выполнил первоначальные настройки для каждого устройства: шифрование на обоих устройствах 3des sh1.
На DFL создал туннель, прописал правила для хождения трафика между сетями.
Но результат отрицательный. Использовал в работе пару мануалов найденных в сети:
https://sanotes.ru/vpn-ipsec-mikrotik-dfl-860e/
http://zaraev.blogspot.com/2014/04/mikr ... -260e.html

Вот что вижу в логах DFL:
2018-12-22
19:56:50
Info
IPSEC
1802023 ike_sa_statistics
done=32 success=1 failed=31
2018-12-22
19:56:50
Warning
IPSEC
1802022 ike_sa_failed
no_ike_sa
statusmsg="Invalid syntax" reason="" local_peer="176.192.xx.xx:500 ID (null)" remote_peer="176.114.xx.xx:500 ID (null)" spi_i=0x8a73cd21c8655405 spi_r=0x25c5350b25bbf9a0 initiator=FALSE
2018-12-22
19:56:50
Warning
IPSEC
1800106 ike_invalid_payload
local_ip=176.192.xx.xx remote_ip=176.114.xx.xx cookies=0x8a73cd21c865540525c5350b25bbf9a0 reason="Invalid payload type in encrypted payload chain, possibly because of different pre-shared keys"
2018-12-22
19:56:30
Warning
IPSEC
1800106 ike_invalid_payload
local_ip=176.192.xx.xx remote_ip=176.114.xx.xx cookies=0x1278b120aeae9b8ab6dfe64f080ad101 reason="IKE_INVALID_COOKIE"
2018-12-22
19:56:28
Info
IPSEC
1800201 commit_succeeded
2018-12-22
19:56:28
Info
IPSEC
1800211 reconfig_IPsec
ipsec_reconfigured
2018-12-22
19:56:20
Warning
IPSEC
1800106 ike_invalid_payload
local_ip=176.192.xx.xx remote_ip=176.114.xx.xx cookies=0x1278b120aeae9b8ab6dfe64f080ad101 reason="IKE_INVALID_COOKIE"
2018-12-22
19:55:40
Info
IPSEC
1802023 ike_sa_statistics
done=31 success=1 failed=30
2018-12-22
19:55:40
Warning
IPSEC
1802022 ike_sa_failed
no_ike_sa
statusmsg="Invalid syntax" reason="" local_peer="176.192.xx.xx:500 ID (null)" remote_peer="176.114.xx.xx:500 ID (null)" spi_i=0x1278b120aeae9b8a spi_r=0xb6dfe64f080ad101 initiator=FALSE
2018-12-22
19:55:40
Warning
IPSEC
1800106 ike_invalid_payload
local_ip=176.192.xx.xx remote_ip=176.114.xx.xx cookies=0x1278b120aeae9b8ab6dfe64f080ad101 reason="Invalid payload type in encrypted payload chain, possibly because of different pre-shared keys"
2018-12-22
19:55:20
Warning
IPSEC
1800106 ike_invalid_payload
local_ip=176.192.xx.xx remote_ip=176.114.xx.xx cookies=0xa0d0b95c11f97b47ad78b39741050a73 reason="IKE_INVALID_COOKIE"
2018-12-22
19:55:10
Warning
IPSEC
1800106 ike_invalid_payload
local_ip=176.192.xx.xx remote_ip=176.114.xx.xx cookies=0xa0d0b95c11f97b47ad78b39741050a73 reason="IKE_INVALID_COOKIE"
2018-12-22
19:54:30
Info
IPSEC
1802023 ike_sa_statistics
done=30 success=1 failed=29
2018-12-22
19:54:30
Warning
IPSEC
1802022 ike_sa_failed
no_ike_sa
statusmsg="Invalid syntax" reason="" local_peer="176.192.xx.xx:500 ID (null)" remote_peer="176.114.xx.xx:500 ID (null)" spi_i=0xa0d0b95c11f97b47 spi_r=0xad78b39741050a73 initiator=FALSE
2018-12-22
19:54:30
Warning
IPSEC
1800106 ike_invalid_payload
local_ip=176.192.xx.xx remote_ip=176.114.xx.xx cookies=0xa0d0b95c11f97b47ad78b39741050a73 reason="Invalid payload type in encrypted payload chain, possibly because of different pre-shared keys"

В Микротике в логах одно и тоже:
mikrotik phase 1 negotiation failed due to time up

Если есть каике то мысли -посоветуйте в какую сторону двигаться.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Вс дек 23, 2018 07:50 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8926
Откуда: Москва
Прошивки?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Вс дек 23, 2018 10:20 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 310
На DFL - 11.10.01.06-31274
на Mikrotik - 6.43
На обоих сторонах - статические белые адреса.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Вс дек 23, 2018 21:55 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 310
В общем никак не хотел подниматься ipsec - плюнул и настроил микротик клиентом l2tp over ipsec (благо этот функционал уже был на DFL и прекрасно работал).
Все завелось, прописал все нужные маршруты и правила - все сети и ресурсы которые необходимы стали доступны за DFL.
Но вопрос остался - как сделать доступными ресурсы за микротиком? Я указал в настройках клиента сеть за микротиком (192.168.9.0/24)
Но однако по локальому адресу 192.168.9.1 микротик на пинг не отвечает, для winbox недоступен


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Ср дек 26, 2018 09:11 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8560
Откуда: Москва
По поводу IPSec:
В логах видим запись "...because of different pre-shared keys"
Ни о чем это вам не говорит?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Ср дек 26, 2018 16:51 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 310
эта часть лога говорит - разный ключ, это я победил, не просто по знакам ключ вбил, а скопировал, вот видно на тот момент лишка какая то и прилетела.
Но потом то все равно не алле.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Чт дек 27, 2018 17:06 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 310
Больше всего на текущий момент меня интересует как увидеть сеть за l2tp клиентом (в его роли микротик).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Чт дек 27, 2018 17:50 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8560
Откуда: Москва
asd1979 писал(а):
Но вопрос остался - как сделать доступными ресурсы за микротиком? Я указал в настройках клиента сеть за микротиком (192.168.9.0/24)
А правилами Вы это подкрепили?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 260E Ipsec mikrotik
СообщениеДобавлено: Ср янв 09, 2019 17:27 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 310
Да, о правиле действительно запамятовал. Прописал разрешение в подсеть микротика и все ресурсы стали доступны.
Спасибо всем откликнувшимся.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 54


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB