Проблема с IPsec Mikrotik?

Настраиваю IPsec tunnel между Mikrotik и Kerio Control. При создании политики она почему то горит красным, и никаких пакетов нет.
601f976f0775d999485628.png
Вот сама конфига:
/ip ipsec peer
add address=80.210.222.**/32 exchange-mode=ike2 name=peer passive=yes
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1536 nat-traversal=no
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
/ip ipsec identity
add generate-policy=port-override peer=peer secret=*********
/ip ipsec policy
add dst-address=10.251.0.0/22 peer=peer src-address=10.0.1.0/24 tunnel=yes
p.s. Делал по рабочему уже шаблону в аналогичной ситуации.
  • Вопрос задан
  • 284 просмотра
Пригласить эксперта
Ответы на вопрос 3
@alexvdem
IPsec profile - надо указать hash algorithms - sha1 например (зависит от настройки сервера в ipsec.conf)
ipsec proposal - та же история, например sha1 и sha256
ipsec identity - не совсем очевидно мне, какой у тебя механизи аутентификации, но если MSChap 2.0 - EAP, то надо указать все необходимые данные. Т.е. импортировать сертификат сервера, указать логин+пароль и пр.
Про политики не могу ничего сказать, я не вижу смысла ограничивать IPпространство для VPN, поэтому у меня там по нулям, а вот Mode config я настраиваю, чтобы connection mark работал для маркировки нужных пакетов в целях их направления в VPN (тебе может и не надо, но штука полезная).
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
Политика горит красным потому что нет соответствующих настроек Peer и Identity, либо они неверные/неприменимые.
Вот такой proposal я использую для одной немного больной на голову конторы:
/ip ipsec proposal
add auth-algorithms=sha256,sha1,md5 enc-algorithms=\
    aes-256-cbc,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-gcm lifetime=1h

Смысл в том, чтобы дать той стороне выбрать и посмотреть, что она выбрала. "Там" у меня циска, и она выбирает auth sha1 и шифронабор aes256-cbc
А вообще в таких случаях включается лог. Ну и кроме того, уберите пассивку, пусть микротик сам подолбится и посмотрите на ошибки.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы