Как запретить микротику поднимать vpn туннель по порту 4500?

Question

[MrDZ]

Добрый день, имеется такая схема vpn:
ipip tunnel over ipsec. В profile nat-t отключен, но микротик всё равно поднимает (не всегда) туннель по 4500 порту

Как запретить микротику поднимать vpn туннель по порту 4500? Что бы по умолчанию был 500 порт.

Comments

[Valentin Barbolin]

ipsec использует порт 4500 когда видит NAT. Где-то ошибка в конфигурации.

[MrDZ]

/ip ipsec profile add dh-group=ecp384,modp4096 dpd-interval=disable-dpd enc-algorithm=aes-256 \
    hash-algorithm=sha256 name=profile1 nat-traversal=no
/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=12h\ name=proposal1 pfs-group=modp4096
/ip firewall nat add action=masquerade chain=srcnat comment="default configuration" ipsec-policy=out,none out-interface=ether1-gateway src-address=10.0.1.0/24

fw не стал копировать, врятли он поможет.

[korsar182]

Чем Вам не угодил порт 4500?

[MrDZ]

korsar182, работает не стабильно

[korsar182]

MrDZ, возможно проблема в чем-то другом, а не в конкретном порте 4500? IKEv2 работает очень стабильно, не вижу ни одной причины менять его на IKEv1.

Answer 1

[CityCat4]

Если звезды зажигают - значит это кому-нибудь нужно (С) В.В. Маяковский

Если IKE переходит на 4500 - значит где-то есть NAT-T. Запретите его (если удастся) - и туннеля не будет :)

Comments

[MrDZ]

"А во лбу звезда горит" (C) Пушкин
если его просто запретить firewall, то не факт что туннель вообще поднимется.
В моём представлении, что если убрать чекбокс с nat-t - должно его отключить, но "Звезды по прежнему загораются". И вопрос - где эта "звезда"

[CityCat4]

MrDZ, С той стороны. Это та сторона решает, что используется NAT-T - а принимающая, поскольку достаточно умна, сама начинает его использовать - если IKEv2. Попробуйте перейти на IKEv1, там все проще и сложнее одновременно.
Ну и лог конечно же нужно смотреть, подробный.