Mikrotik L2TP-server+IPsec: откуда такая запись в логе и как избавиться?

Question

[Александр]

Доброго дня.
Настроил микрота в качестве L2TP-сервера + IPsec. Принимает подключения от 2-х офисов. Подключение проходит, клиенты работают на базе микрота уже почти два месяца, но меня смущает запись в логе микрота: ipsec,error authtype mistmatched: my: hmac-sha1 peer: hmac-md5.
Как бы работает - не трогай конечно, но почему так? Я так понимаю, что это происходит во время пересмотра IPsec SA. Если от сего можно избавиться, подскажите как. Заранее спасибо.
P.S. "Проблемное" подключение настраивал не я. Честно не я!:)

Answer 1

[Антон]

ну у вас всё и работает прекрасно на одну половину..)
кто настраивал - хотел сперва поднять транспорт l2tp и на концах его зашифровать..
по факту транспорт работает, но без шифрования просто гонит трафф напрямую..
согласуйте политики ipsec и ошибка пропадет

Comments

[Александр]

То есть IPSec сейчас используется только для аутентификации клиента (pre-shared-key выставлен), а шифрование есть-нету ему без разницы?

[Антон]

Александр: ipsec вообще не используется для аутентификации клиента, это делает l2tp

[Александр]

Антон: как это нет? О_О А как же ключ предварительной аутентификации который я вписываю в настройках подключения после выбора типа подключения? Он то для чего используется??? Вообще по моему представлению, сначала на маршрутизатор, прилетает специальный udp пакет с запросом на подключение, сервер ответным пакетом запрашивает у отправителя логин и пароль l2tp, если они совпадают с парольной парой в базе сервера l2tp, создает интерфейс для подключения (ну или использует существующий, в зависимости от настроек). После установки сессии l2tp начинает действовать ipsec, так же запрашивая свой ключ (пресловутый pre-shared-key), если они совпадают, генерирует ключи которыми клиент и сервер будут зашифровать и расшифровывать пакеты. Ну и изредка их меняет. И уже после этого вступают в силу методы шифрования - aes 128, 256, 3des и так далее.
Все очень утрировано и взято из многих источников, так что я не претендую на звание самого эрудированного человека на планете:) Поправьте, если ошибаюсь.
Но если все так, то psk все таки используется протоколом ipsec для аутентификации.
В моем случае, я так понял, не подхватываются именно методы шифрования.
Ну или сервер ждет, что клиент отдаст ему пакет с хэшем по алгоритму sha1, а клиент отправляет md5. Только вот нах*ра они тут нужны не могу понять...

P.S. я не претендую на звание самого-эрудированного-человека-на-планете:)

[Антон]

ну раз клиент попадает в систему после установления l2tp и отвалившейся сессии ipsec, то что используется для аутентификации клиента?..)

[Антон]

а на клиентской стороне что за зверь?

[Александр]

Антон: не особо в курсе про клиентскую часть, вроде win serv 2003 или 2008.
Одного клиента я настраивал (так же как и l2tp-сервер), там все нормально работает, никаких ошибок в логе (клиент win 7 corp), а это проблемное подключение какая то сторонняя конторка. Когда они настраивали, позвонили, сказали что параметр обязательное шифрование в настройках подключения никак не хотел ставиться, в итоге как то через приподвывих настроили.

[Антон]

ну значит они поставили в свойствах - подключаться даже без шифрования.. ipsec peer задан шаблоном или для каждого соединения свой? если для каждого свой - то просто поменяй у себя hash algorithm на md5. подключаются с серых айпи?

[Александр]

Антон: Нет, IP белый. ipsec peer шаблоном.

[Александр]

Антон: а в чем разница будет при смене хеш алгоритма? Просто когда настраивал, в мануале было прямо выделено, не забудьте поменять md5 на sha1. Нафига это делать не понял, но на всякий случай поменял

[Александр]

Антон: вот конфиг создаваемого ipsec peer

address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 
      auth-method=pre-shared-key secret="********" 
      generate-policy=port-strict policy-template-group=default 
      exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes 
      hash-algorithm=sha1 enc-algorithm=3des,aes-128,aes-192,aes-256 
      dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

[Антон]

сейчас почитаю.. на телефоне пока что)

[Антон]

/ip ipsec peer
add comment="Peer for L2TP-clients" dpd-interval=disable-dpd \
dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main-l2tp \
generate-policy=port-override policy-template-group=group_l2tp_clts

[Антон]

если в PPP - Secrets пользователи персонализированы, а не одна учётка на всех, то:
можно для проблемного пользователя задать в учётке сразу Local Address, Remote Address - чтоб он не "плавал"
и затем
в IP - Ipsec настроить Peer для айпишника, который ему присваивается - отдельно от шаблона, примерно понятно? Т.е. будет - ipsec peer address=a.b.c.d/32 - получить можно копированием шаблона и допиливанием..

[Александр]

Антон: проще говоря для "проблемного" своя политика по отдаваемому адресу, для всех остальных генерируется динамическая, типа того?

[Антон]

ну типа того)
получилось? на своей стороне выставил в md5 для этого пира?
можно прям на ходу делать - клиенты думаю не заметят лага в пару секунд)

[Александр]

Антон: да, поменял, полет нормальный:)
А вообще, в теории, при установке сессии клиент и сервер должны согласовывать правила защиты
https://technet.microsoft.com/ru-ru/library/cc7317...
Тогда почему клиент все равно гнал md5?

[Антон]

ну микротик оперирует конкретно заданными параметрами, а в майкрософт патч на патче и патчем погоняет - и там разные рекомендации для установки соединения после каждого обновления системы, а теория пишется в приближении к идеальным условиям..

[Александр]

Антон: обновления? Либо они все новые либо их просто нет на клиентской стороне? Ну как вариант в принципе... Зная тот офис, вообще удивительно что там что то работает:D

[Антон]

вот так и приходится на определенном уровне абстрактности и виртуальности оперировать вещами....)