+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

IPSec/IKEv2 туннель разорван после 8 минут.

IPSec/IKEv2 туннель разорван после 8 минут., RouterOS

mtzmt

Guest

30.10.2019 22:42:00

Привет, у меня версия 6.45.7, настраивал IKEv2 для iOS 12 на MikroTik, и спустя 8 минут у меня произошло отключение. В чем может быть проблема? Логи: 23:26:44 ipsec,info новая ike2 SA ®: publicIPmikrotik[500]-ip_iphone[4805] spi:d541b057d8dee6f1:82f4ac78771cbdfd 23:26:44 ipsec,info,account пэр авторизован: publicIPmikrotik[4500]-ip_iphone[4806] spi:d541b057d8dee6f1:82f4ac78771cbdfd 23:26:44 ipsec,info адрес 192.168.89.255 присвоен ip_iphone, vpn.client 23:34:00 wireless,info 70:EE:50:2A:FE:14@wlan1: подключено, уровень сигнала -62 23:34:01 dhcp,info defconf присвоен 192.168.88.244 устройству 70:EE:50:2A:FE:14 23:34:09 dhcp,info defconf отменено присвоение 192.168.88.244 от 70:EE:50:2A:FE:14 23:34:10 wireless,info 70:EE:50:2A:FE:14@wlan1: отключено, получено disassoc: станция покидает сеть (8) 23:34:45 ipsec,info завершение ike2 SA: publicIPmikrotik[4500]-ip_iphone[4806] spi:d541b057d8dee6f1:82f4ac78771cbdfd 23:34:45 ipsec,info освобождение адреса 192.168.89.255 конфигурация: /certificate add name=my.ca common-name=my.ca key-usage=key-cert-sign,crl-sign trusted=yes /certificate sign my.ca /certificate add name=vpn.server common-name=vpn.server subject-alt-name=DNS:vpn.server /certificate sign vpn.server ca=my.ca /certificate set trusted=yes vpn.server /certificate add name=vpn.client common-name=vpn.client /certificate sign vpn.client ca=my.ca /certificate set trusted=yes vpn.client /certificate export-certificate my.ca /certificate export-certificate vpn.client export-passphrase=12345678 type=pkcs12 /ip pool add name=vpn ranges=192.168.89.0/24 /ip ipsec mode-config add address-pool=vpn name=cfg1 static-dns=8.8.8.8 system-dns=no /ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ios-ikev2-proposal pfs-group=none /ip ipsec profile add name=iOS hash-algorithm=sha256 enc-algorithm=aes-256,aes-128 dh-group=modp2048 lifetime=1h dpd-interval=1h /ip ipsec peer add address=0.0.0.0/0 exchange-mode=ike2 profile=iOS name=iPhone /ip ipsec identity add auth-method=digital-signature certificate=vpn.server generate-policy=port-strict match-by=certificate mode-config=cfg1 my-id=fqdn:vpn.server peer=iPhone remote-certificate=vpn.client

zentavr

Guest

13.09.2023 19:07:00

Я смог это исправить, установив none как pfs-group в ipsec proposals. /ip ipsec mode-config добавь адресный пул=ipsec-pool длина префикса адреса=32 имя=ipsec-user-networks split-dns=192.168.10.1 split-include=192.168.10.0/24,172.16.8.0/24

/ip ipsec policy group добавь имя=office

/ip ipsec profile добавь maximum-failures dpd=8 enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256 имя=office-rw

/ip ipsec peer добавь exchange-mode=ike2 имя=office-rw-passive passive=yes profile=office-rw send-initial-contact=no

/ip ipsec proposal добавь auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=12h30m имя=office-none pfs-group=none

/ip ipsec identity добавь auth-method=eap-radius сертификат=letsencrypt-autogen_2023-09-04T22:14:54Z,lets-encrypt-r3 generate-policy=port-strict mode-config=ipsec-user-networks peer=office-rw-passive policy-template-group=office

/ip ipsec policy установи 0 disabled=yes добавь dst-address=172.16.8.0/24 group=office proposal=office-none src-address=172.16.8.0/24 template=yes добавь dst-address=172.16.8.0/24 group=office proposal=office-none src-address=0.0.0.0/0 template=yes добавь dst-address=172.16.8.0/24 group=office proposal=office-none src-address=192.168.10.0/24 template=yes

complex1 Guest	#3 0 27.11.2019 09:24:00 Привет, я использую версию 6.45.7 на RB4011 и сталкиваюсь с такой же проблемой. Есть какие-нибудь новости или решение по поводу проблемы с 8 минутами? Спасибо.

Lilarcor Guest	#4 0 28.07.2020 11:40:00 У меня такая же проблема с 4011 на 6.45.9.

kavehvn Guest	#5 0 19.03.2021 11:15:00 У меня такая же проблема с RB951 версии 6.48.1.

eakteam Guest	#6 0 18.10.2022 22:19:00 Нашел ли кто-то решение? Я использую версию 7.6, и эта проблема все еще присутствует…

heney99079 Guest	#7 0 04.09.2023 02:44:00 Установка PFS Group для предложения modp2048 решила проблему – похоже, iOS/macOS пытается обновить ключи, требующие этой PFS Group. Предыдущее значение у меня было modp1024.

zentavr Guest	#8 0 10.09.2023 01:21:00 @heney99079 - где ты это настроил? На стороне RouterOS или на стороне Apple?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры