Перейти к содержимому

The packet is retransmitted by mikrotik что это

  • автор:

The packet is retransmitted by mikrotik что это

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Mikrotik L2TP IPSec и клиенты Windows

Описание каждой версии, обсуждение особенностей и недостатков
3 сообщения • Страница 1 из 1
SinnerLike Сообщения: 70 Зарегистрирован: 03 окт 2016, 08:13 Откуда: Когалым
Добрый день!
Спасите помогите.
Настроил на микроте VPN сервер:

/ip ipsec policy group
add name=l2tp
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm,3des name=L2TP
/ip pool
add name=vpn-pool ranges=10.20.1.10-10.20.1.20
/ppp profile
add change-tcp-mss=yes dns-server=10.20.1.1 local-address=10.20.1.1 name=vpn_profile remote-address=vpn-pool use-encryption=yes use-ipv6=default
/interface l2tp-server server
set allow-fast-path=yes authentication=mschap2 default-profile=vpn_profile enabled=yes ipsec-secret=***** one-session-per-host=yes use-ipsec=yes
/interface pptp-server server
set default-profile=vpn_profile
/ip firewall filter
add action=accept chain=input comment=VPN protocol=ipsec-esp
add action=accept chain=input dst-port=1701,500,4500 protocol=udp
/ip ipsec peer
add dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-strict passive=yes secret=*****
/ip ipsec policy
add dst-address=0.0.0.0/0 group=l2tp proposal=L2TP src-address=0.0.0.0/0 template=yes
/ppp secret
add name=user password=*** profile=vpn_profile service=l2tp

Клиенты Android подключаются. А вот Windows 8.1 выдает ошибку 789.
Помогите с настройкой пожалуйста.

Микротик в логах три раза пишет пока винда пытается подключиться: ipsec, info the packet is retransmitted by IP-адрес[500].
А после в логах микротика: ipsec, error phase1 negotiation failed due to time up IP-адрес[500]IP-адрес[500] и дальше длинный ключ.

Как правильно разрулить переключение GRE+IPSec(динамический), при работе 2 mikrotik через vrrp в master и slave режимах?

Добрый день, имеются 2 mikrotik, один выступает в роли master, другой slave, имеются 2 провайдера, на каждом из них по несколько ip, трафик промаркирован для каждого отдельного ip, созданы отдельные маршруты для каждого внешнего ip, прописаны Rule, дабы src.address от каждого внешнего ip провайдера шел по своему маршруту и промаркированный маршруту уходил по этому же промаркированному маршруту, работают по протоколу vrrp, сам vrrp настроен только на LAN интерфейсе, в нем так же прописан простой скрипт, в зависимости от роли маршрутизатора, включаются(master) или отключается(slave) wan, vpn интерфейсы. Но возникает проблема при работе с vpn(GRE+IPSec), как только slave становится master’ом vpn не поднимается, включение и отключение vpn интерфейсов на обоих сторонах не помогает, на другой стороне есть соединения, даже если их удалить дабы создались новые, на случай если они зависли, ничего не происходит. На стороне slave, который стал master в «connections» есть только попытки установить соединение на другую сторону, входящих соединений с той стороны соединений нет, в логах ошибки «phase 1 negotiation failed due to send error ip_master[500]»<=>ip_другая сторона[500]. С другой стороны в «connections», соединения в сторону master есть, но не установленные, в логах ошибки «the packet is retransmitted by IP_MASTER[500]» и «phase 1 negotiation failed due to time up ip[500]<=>ip[500]». Если вернуть работу master. то vpn соединение моментально восстанавливается. Везде стоят прошивки 6.39.3 (bugfix). Может кто то уже сталкивался с подобным?

  • Вопрос задан более трёх лет назад
  • 3418 просмотров

4 комментария

Средний 4 комментария

Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik

При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.

Proxy-arp на внутреннем бридже

При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.

Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.

Глюк default policy на микротик

При абсолютно верных настройках L2TP/IPSec подключения на клиенте (сталкивался на Windows, iPhone) и на сервере Mikrotik (в смысле что все вроде бы сделано верно), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение:

«failed to pre-process ph2 packet»

на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, клиент iPhone просто просто не может подключитсья.

Данная проблема может иметь место на прошивках вплоть до последних стабильных версий (например, на 6.47.4).

Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.

Вариант 2 (по сообщению Hopy), еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:

/ip ipsec peer set 0 policy-template-group=*FFFFFFFF

Вариант 3 (опробован лично):

/ip ipsec policy
set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes

Через Winbox не выходило никак. Только через терминал.

Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой.

Ошибки firewall на всех этапах

Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input — серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.

11.08.2016 16:22 Sergey.K

Подскажите пожалуйста, настраивал всё по вашей статье, но к сожалению возникла проблема с обнаружением внутренних ресурсов сети, если заходить через туннель. Включил proxy-arp на bridge-local, но это не помогло. Правила NAT настраивал как в Вашей статье. Материал крайне полезный, спасибо!

17.04.2017 16:17 max

Присоединяюсь к вопросу выше, такая же проблема, не могу пропинговать внутренние IP. Подскажите пожалуйста, что не так.

03.07.2018 16:33 og-vault13@yandex.ru

https://bozza.ru/art-248.html
Читайте здесь про firewall, видимо он не даёт вам стучаться на локальные ip

24.04.2019 11:55 gr1ffon

Да, когда локальная сеть из VPN недоступна, надо в IP -> Firewall -> NAT добавить правило:
Chain = srcnat
Src. address = 192.168.88.201-192.168.88.220 — диапазон VPN адресов
Dst. address = !192.168.88.201-192.168.88.220 — все, что не входит в диапазон VPN
Action = masquerade

Авторизуйтесь для добавления комментариев!

Почтовый сервер Mikrotik VPN 3proxy Шифрование Squid Резервное копирование Защита почты Виртуальные машины Настройка сервера java kvm Групповые политики SELinux OpenVPN IPFW WDS Lightsquid Samba firewalld systemd Mobile libvirt Remote desktop WiFi Iptables NAT Postfix Dovecot Удаление данных Софт Безопасность Winbox User agent Хостинг Передача данных Онлайн сервисы Privacy LetsEncrypt VPN сервер Настройка прокси RRDTool sendmail Rsync Linux SSH Система Windows Синхронизация Облако fail2ban FreeBSD

Ipsec = Mikrotik+Racoon

Вроде ни чего вредного. Если копи-паст. там далеко на микротике интернет не упадет (опыта с ним нет, как оно на что реагирует)?

petav ★★★★★
( 03.10.17 17:57:58 MSK ) автор топика
Ответ на: комментарий от petav 03.10.17 17:57:58 MSK

Народная примета: удаленная настройка файрвола — к поездке.
А если по сабжу, почему именно ipsec?

pekmop1024 ★★★★★
( 03.10.17 18:07:33 MSK )
Ответ на: комментарий от pekmop1024 03.10.17 18:07:33 MSK

Народная примета: удаленная настройка файрвола — к поездке.

там anydesk трудится, но все же да!

А если по сабжу, почему именно ipsec?

Широко поддерживается. Поэтому на центральном коммутаторе ovpn, racoon, ppp.

petav ★★★★★
( 03.10.17 18:10:49 MSK ) автор топика
Последнее исправление: petav 03.10.17 18:11:05 MSK (всего исправлений: 1)

Ответ на: комментарий от petav 03.10.17 18:10:49 MSK

Широко поддерживается. Поэтому на центральном коммутаторе ovpn, racoon, ppp.

Он просто достаточно проблемный в настройке и нежный к качеству канала, в том числе пропускании провайдерами протоколов как нужно, чего не все провайдеры делают. Если нужна надежность — это только openvpn, если нужна производительность — можно посмотреть на wireguard. А пиписек в современных реалиях не имеет никаких преимуществ и кучу недостатков.

Только вот микротики не подходят ни для опенвпн, ни для ваергарда, ибо кривые изнутри.

pekmop1024 ★★★★★
( 03.10.17 18:22:27 MSK )
Ответ на: комментарий от pekmop1024 03.10.17 18:22:27 MSK

ни для опенвпн, ни для ваергарда, ибо кривые изнутри

petav ★★★★★
( 03.10.17 18:56:37 MSK ) автор топика
Ответ на: комментарий от pekmop1024 03.10.17 18:07:33 MSK

Народная примета: удаленная настройка файрвола — к поездке.

intelfx ★★★★★
( 03.10.17 23:09:41 MSK )
Ответ на: комментарий от petav 03.10.17 17:57:58 MSK

Ну, если прямо так копипастить, то вообще ничего не изменится, потому что эти правила нужно в начало ставить. Это просто кусок моего конфига.

intelfx ★★★★★
( 03.10.17 23:10:26 MSK )
Последнее исправление: intelfx 03.10.17 23:10:38 MSK (всего исправлений: 1)

Ответ на: комментарий от intelfx 03.10.17 23:10:26 MSK

Сегодня проверим. Логика есть, сообщение «retransmitted» в сторону микротик может указывать на то, что он не хочет принимать пакеты даже несмотря на то, что весь трафик от IP второго плеча разрешен.

petav ★★★★★
( 04.10.17 06:43:53 MSK ) автор топика
Ответ на: комментарий от intelfx 03.10.17 17:14:52 MSK

Добавил правила, разместил первыми, ошибка та же:

Oct 10 08:41:12 racoon racoon: NOTIFY: the packet is retransmitted by 2.2.2.2[500]

petav ★★★★★
( 10.10.17 08:43:05 MSK ) автор топика
Ответ на: комментарий от petav 10.10.17 08:43:05 MSK

Впрочем. 2.2.2.2 — это тик? Тогда «by 2.2.2.2» значит обратное, что тик не может достучаться до raccoon (видимо?). Проверь, что у тебя включено заворачивание IPsec в UDP.

intelfx ★★★★★
( 10.10.17 21:11:04 MSK )
Ответ на: комментарий от intelfx 10.10.17 21:11:04 MSK

В микротике правила

 3 ;;; Allow UDP chain=input protocol=udp 4 ;;; Allow IKE chain=input action=accept protocol=udp dst-port=500 log=no 5 ;;; Allow IKE chain=input protocol=udp dst-port=4500 6 chain=input action=accept protocol=ipsec-ah log=no 7 chain=input action=accept protocol=ipsec-esp log=no

Счечтик бегает только на 3,4. Перезапустил сервер с racoon заработало вроде

# setkey -D 2.2.2.2 1.1.1.1 esp mode=tunnel spi=92444112(0x058295d0) reqid=0(0x00000000) E: blowfish-cbc bdc9cb97 5a2d3845 2d92f492 a4890a70 A: hmac-sha1 c8f931c1 73a08f2e 6cc18edc 42e2ca82 49621768 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Oct 11 13:26:10 2017 current: Oct 11 18:47:54 2017 diff: 19304(s) hard: 86400(s) soft: 69120(s) last: Oct 11 18:27:36 2017 hard: 0(s) soft: 0(s) current: 696(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 8 hard: 0 soft: 0 sadb_seq=4 pid=13567 refcnt=0 1.1.1.1 2.2..2 esp mode=tunnel spi=238261119(0x0e33937f) reqid=0(0x00000000) E: blowfish-cbc d4dd0061 afe4aefe d4515492 06264381 A: hmac-sha1 76572afb 06baaf65 778aae2f 2c091eb7 e514fd1f seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Oct 11 13:25:49 2017 current: Oct 11 18:47:54 2017 diff: 19325(s) hard: 86400(s) soft: 69120(s) last: hard: 0(s) soft: 0(s) current: 0(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 0 hard: 0 soft: 0 sadb_seq=5 pid=13567 refcnt=0
  • Даже из сети racoon mikrotik пингую, но только за микротикорм уже ни чего не пингуется.
  • За микротиком tracert показывает как микротик отправляет пакет локальной сети racoon в интеренет.
[admin@MikroTik] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface=ether1 1 chain=srcnat action=accept src-address=192.168.235.0/24 dst-address=192.168.206.0/24

0 и 1 надо поменять местами?

tcpdump вижу как оттуда не отвечают уже если пигвовать что-то кроме микротика.

petav ★★★★★
( 11.10.17 19:01:45 MSK ) автор топика
Последнее исправление: petav 11.10.17 19:09:26 MSK (всего исправлений: 1)

Похожие публикации:
  1. Как написать в поддержку ps4
  2. Как оформить разрыв таблицы в ворде по госту
  3. Как посмотреть этапы вычисления в excel
  4. Как сохранить проект в intellij idea java

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *