Mikrotik L2TP-server+IPsec: откуда такая запись в логе и как избавиться?
Доброго дня.
Настроил микрота в качестве L2TP-сервера + IPsec. Принимает подключения от 2-х офисов. Подключение проходит, клиенты работают на базе микрота уже почти два месяца, но меня смущает запись в логе микрота: ipsec,error authtype mistmatched: my: hmac-sha1 peer: hmac-md5.
Как бы работает - не трогай конечно, но почему так? Я так понимаю, что это происходит во время пересмотра IPsec SA. Если от сего можно избавиться, подскажите как. Заранее спасибо.
P.S. "Проблемное" подключение настраивал не я. Честно не я!:)
ну у вас всё и работает прекрасно на одну половину..)
кто настраивал - хотел сперва поднять транспорт l2tp и на концах его зашифровать..
по факту транспорт работает, но без шифрования просто гонит трафф напрямую..
согласуйте политики ipsec и ошибка пропадет
Антон: как это нет? О_О А как же ключ предварительной аутентификации который я вписываю в настройках подключения после выбора типа подключения? Он то для чего используется??? Вообще по моему представлению, сначала на маршрутизатор, прилетает специальный udp пакет с запросом на подключение, сервер ответным пакетом запрашивает у отправителя логин и пароль l2tp, если они совпадают с парольной парой в базе сервера l2tp, создает интерфейс для подключения (ну или использует существующий, в зависимости от настроек). После установки сессии l2tp начинает действовать ipsec, так же запрашивая свой ключ (пресловутый pre-shared-key), если они совпадают, генерирует ключи которыми клиент и сервер будут зашифровать и расшифровывать пакеты. Ну и изредка их меняет. И уже после этого вступают в силу методы шифрования - aes 128, 256, 3des и так далее.
Все очень утрировано и взято из многих источников, так что я не претендую на звание самого эрудированного человека на планете:) Поправьте, если ошибаюсь.
Но если все так, то psk все таки используется протоколом ipsec для аутентификации.
В моем случае, я так понял, не подхватываются именно методы шифрования.
Ну или сервер ждет, что клиент отдаст ему пакет с хэшем по алгоритму sha1, а клиент отправляет md5. Только вот нах*ра они тут нужны не могу понять...
P.S. я не претендую на звание самого-эрудированного-человека-на-планете:)
Антон: не особо в курсе про клиентскую часть, вроде win serv 2003 или 2008.
Одного клиента я настраивал (так же как и l2tp-сервер), там все нормально работает, никаких ошибок в логе (клиент win 7 corp), а это проблемное подключение какая то сторонняя конторка. Когда они настраивали, позвонили, сказали что параметр обязательное шифрование в настройках подключения никак не хотел ставиться, в итоге как то через приподвывих настроили.
ну значит они поставили в свойствах - подключаться даже без шифрования.. ipsec peer задан шаблоном или для каждого соединения свой? если для каждого свой - то просто поменяй у себя hash algorithm на md5. подключаются с серых айпи?
Антон: а в чем разница будет при смене хеш алгоритма? Просто когда настраивал, в мануале было прямо выделено, не забудьте поменять md5 на sha1. Нафига это делать не понял, но на всякий случай поменял
если в PPP - Secrets пользователи персонализированы, а не одна учётка на всех, то:
можно для проблемного пользователя задать в учётке сразу Local Address, Remote Address - чтоб он не "плавал"
и затем
в IP - Ipsec настроить Peer для айпишника, который ему присваивается - отдельно от шаблона, примерно понятно? Т.е. будет - ipsec peer address=a.b.c.d/32 - получить можно копированием шаблона и допиливанием..
ну микротик оперирует конкретно заданными параметрами, а в майкрософт патч на патче и патчем погоняет - и там разные рекомендации для установки соединения после каждого обновления системы, а теория пишется в приближении к идеальным условиям..
Антон: обновления? Либо они все новые либо их просто нет на клиентской стороне? Ну как вариант в принципе... Зная тот офис, вообще удивительно что там что то работает:D