 |
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
l2tp/ipsec asa - микротик All IPSec SA proposals found unac
| Автор |
Сообщение |
|
qbk
Зарегистрирован: 10 окт 2016, 16:11
Сообщения: 92
|
Доброго дня. Аса 5510 (9.1) Настроил l2tp/ipsec server. С пк все норм. С этим же провайдером если подключать микротик, то микро как клиент не хочет подключаться. Подскажите плз. Конф аса Код: !
crypto ipsec ikev1 transform-set ESP-AES256-SHA1_TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES256-SHA1_TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES128-SHA1_TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES128-SHA1_TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES256-SHA1 esp-aes-256 esp-sha-hmac
!
crypto dynamic-map DYN_OUTSIDE 10000 set ikev1 transform-set ESP-AES256-SHA1_TRANS ESP-AES128-SHA1_TRANS ESP-AES256-SHA1
!
crypto map DEF_CMAP 10000 ipsec-isakmp dynamic DYN_OUTSIDE
crypto map DEF_CMAP interface outside
!
!
crypto ikev1 policy 1000
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 2000
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 3000
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
!
!
group-policy EMPLOYEES_L2TP_IPSEC internal
group-policy EMPLOYEES_L2TP_IPSEC attributes
dns-server value 4.2.2.2
vpn-tunnel-protocol l2tp-ipsec
default-domain value popravak.com
!
username sasa password uEwG7U3yQ+zmShyEXyAkEQ== nt-encrypted
!
tunnel-group DefaultRAGroup general-attributes
address-pool POOL1
default-group-policy EMPLOYEES_L2TP_IPSEC
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
!
В логах трабла с фазой 2 Код: %ASA-7-713225: Group = DefaultRAGroup, IP = 31.13.18.16, Static Crypto Map check, map DYN_OUTSIDE, seq = 10000 is a successful match
%ASA-7-715059: Group = DefaultRAGroup, IP = 31.13.18.16, Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal
%ASA-7-715059: Group = DefaultRAGroup, IP = 31.13.18.16, Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal
%ASA-7-715059: Group = DefaultRAGroup, IP = 31.13.18.16, Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal
%ASA-7-713066: Group = DefaultRAGroup, IP = 31.13.18.16, IKE Remote Peer configured for crypto map: DYN_OUTSIDE
%ASA-7-715047: Group = DefaultRAGroup, IP = 31.13.18.16, processing IPSec SA payload
%ASA-5-713904: Group = DefaultRAGroup, IP = 31.13.18.16, All IPSec SA proposals found unacceptable!
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending notify message
%ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing blank hash payload
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, constructing ipsec notify payload for msg id a4455782
%ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing qm hash payload
%ASA-7-713236: IP = 31.13.148.16, IKE_DECODE SENDING Message (msgid=8491bd8b) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 84
%ASA-3-713902: Group = DefaultRAGroup, IP = 31.13.18.16, QM FSM error (P2 struct &0xae6c87d0, mess id 0xa4455782)!
%ASA-7-715065: Group = DefaultRAGroup, IP = 31.13.18.16, IKE QM Responder FSM error history (struct &0xae6c87d0) <state>, <event>: QM_DONE, EV_ERROR-->QM_BLD_MSG2, EV_NEGO_SA-->QM_BLD_MSG2, EV_IS_REKEY-->QM_BLD_MSG2, EV_CONFIRM_SA-->QM_BLD_MSG2, EV_PROC_MSG-->QM_BLD_MSG2, EV_HASH_OK-->QM_BLD_MSG2, NullEvent-->QM_BLD_MSG2, EV_COMP_HASH
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending delete/delete with reason message
%ASA-3-713902: Group = DefaultRAGroup, IP = 31.13.18.16, Removing peer from correlator table failed, no match!
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, IKE SA MM:8ade16a5 rcv'd Terminate: state MM_ACTIVE flags 0x00004042, refcnt 1, tuncnt 0
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, Remove from IKEv1 Tunnel Table succeeded for SA with logicalId 6402048
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, Remove from IKEv1 MIB Table succeeded for SA with logical ID 6402048
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, IKE SA MM:8ade16a5 terminating: flags 0x01004002, refcnt 0, tuncnt 0
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending delete/delete with reason message
%ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing blank hash payload
%ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing IKE delete payload
%ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing qm hash payload
%ASA-7-713236: IP = 31.13.148.16, IKE_DECODE SENDING Message (msgid=77c7b39c) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 80
%ASA-6-713905: Group = DefaultRAGroup, IP = 31.13.18.16, Warning: Ignoring IKE SA (src) without VM bit set
%ASA-5-713259: Group = DefaultRAGroup, IP = 31.13.18.16, Session is being torn down. Reason: Phase 2 Mismatch 31.13.18.16 - пров на микротике
|
| 02 фев 2018, 10:45 |
|
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
|
А что подсказать?
В нете куча материала о подключении.
Даже есть .pdf на все возможные подключения.
Пробуйте. Смотрите через ADSM на что ругается ASA.
Ругаться скорее всего будет на то что у нее не хватает протокола шифрования.
Если не найдете, маякните. Тогда вечером выложу конфиг с Микрота.
Спасибо.
|
| 02 фев 2018, 11:34 |
|
|
|
qbk
Зарегистрирован: 10 окт 2016, 16:11
Сообщения: 92
|
1) по логам аса ругается на Код: %ASA-7-715047: Group = DefaultRAGroup, IP = 31.13.18.16, processing IPSec SA payload
%ASA-5-713904: Group = DefaultRAGroup, IP = 31.13.18.16, All IPSec SA proposals found unacceptable!
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending notify message 2) мануалы по микроту что находил у меня не завелось. Буду благодарен если скинете конф.
|
| 02 фев 2018, 12:47 |
|
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
|
qbk писал(а): 1) по логам аса ругается на Код: %ASA-7-715047: Group = DefaultRAGroup, IP = 31.13.18.16, processing IPSec SA payload
%ASA-5-713904: Group = DefaultRAGroup, IP = 31.13.18.16, All IPSec SA proposals found unacceptable!
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending notify message 2) мануалы по микроту что находил у меня не завелось. Буду благодарен если скинете конф. Вам надо что-то типа такого http://www.vionblog.com/mikrotik-to-cis ... ipsec-vpn/токо на сколько я помню, в новых версиях циски, она не правильно протоколы шифрования запихивает. По памяти не помню, гляну дома.
|
| 02 фев 2018, 13:13 |
|
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
|
У микрота надо быдло удалять/отключать дефолтные политики и шаблоны, даже если они подходили по параметрам.
Когда в процессе теста пытался добиться нормально функционирования, затык был примерно в том же месте.
|
| 02 фев 2018, 18:07 |
|
|
|
qbk
Зарегистрирован: 10 окт 2016, 16:11
Сообщения: 92
|
Благодарю за поддержку  Может у кого есть возможность скинет свои настройки микрота.
|
| 03 фев 2018, 20:19 |
|
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
|
Бэкап где-то валялся. В понедельник поделюсь, вдруг поможет.
|
| 04 фев 2018, 01:26 |
|
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
|
Гыы, забыл пароль на Микрот. Вечером буду с продакшена вынимать и крешить
|
| 05 фев 2018, 16:21 |
|
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
|
Тут только примитивная ipsec часть =( Остальное неуцелело
Вложения:
ipsec.txt [1.33 КБ]
Скачиваний: 991
|
| 05 фев 2018, 17:03 |
|
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
|
Сорри, за задержку.
Вчера добрался до микрота. Если актуально, могу сбросить конфиги.
|
| 20 фев 2018, 09:17 |
|
|
|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 60 |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения
|
|
|
