Как изменить исходящий порт IPSec mikrotik?

Добрый вечер, настраиваю для личного пользования IPSec на микротик и поднимаю тонели из разных мест. но из одного места не получается поднять тоннель, ни с роутера ни с планшета ни с ноута (видимо провайдер блокирует на исходящее подключение). Единственное устройство которое может поднять тоннель это смартфон самсунг. Немного покопавшись и проанализировав подключение с другого места, понял что телефон может подключиться из любого места потому что он умеет менять исходящий порт, он использует не стандартные и не фиксированые порты. Последний раз когда это проверял он использовал 50105 порт (вместо 4500).

И теперь главный вопрос: как заставить Mikrotik использовать другой исходящий порт?
  • Вопрос задан
  • 186 просмотров
Пригласить эксперта
Ответы на вопрос 1
ValdikSS
@ValdikSS
Стандарт IPsec регламентирует UDP-порты 500 и 4500, в случае использования UDP-инкапсуляции. Сменить их, в общем случае, нельзя, только некоторое ПО это позволяет (strongswan, например).

Невозможность подключения может быть вызвана блокировкой фрагментированных IP-пакетов на стороне провайдера. Не каждый клиент поддерживает фрагментацию средствами протокола IPsec, а длинные сертификаты, вроде RSA 2048, не влазят в один пакет, заставляя клиент фрагментировать пакет на уровне IP. Можно попробовать использовать ECDSA-сертификаты или RSA 1024, он влазит в один пакет при MTU 1350+.

Последний раз когда это проверял он использовал 50105 порт (вместо 4500).

Очень сомневаюсь. Скорее всего, вы что-то не то смотрели.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы