+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Ipsec не может установить соединение с Cisco

Ipsec не может установить соединение с Cisco, RouterOS

lima7

Guest

15.02.2011 09:04:00

[rmkroot@SG-GT] /ip> ipsec peer pr Флаги: X - отключен 0 адрес=202.134.7.6/32:500 метод аутентификации=предварительно_SHARED_ключ секрет=“xxxxxxxxx” сгенерировать-политику=да режим-обмена=главный отправить-начальный-контакт=да nat-туннелирование=нет проверка-предложений=подчиняться алгоритм-хеша=sha1 алгоритм-шифрования=3des группа-dh=modp1024 срок-действия=1д срок-байт=0 интервал-dpd=1м максимальные-ошибки-dpd=1 [rmkroot@SG-GT] /ip> ipsec policy pr Флаги: X - отключен, D - динамический, I - неактивен 0 src-адрес=10.10.12.96/27:любой dst-адрес=192.168.2.3/32:любой протокол=все действие=шифрование уровень=единственный ipsec-протоколы=esp туннель=да sa-src-адрес=202.134.5.6 sa-dst-адрес=202.134.7.6 предложение=по умолчанию приоритет=0 [rmkroot@SG-GT] /ip> ipsec proposal pr Флаги: X - отключен 0 имя=“по умолчанию” алгоритмы-аутентификации=md5,sha1 алгоритмы-шифрования=3des срок-действия=30м группа-pfs=нет 15:48:38 ipsec начат режим защиты информации. 15:48:38 ipsec ISAKMP-SA установлен 202.134.5.6[500]- 202.134.7.6[500] spi:17416654cc65ca55:96be00baf5a386e5 15:48:39 ipsec инициирована новая фаза 2 переговоров: 202.134.5.6[500]<=>202.134.7.6[500] 15:48:39 ipsec фатальная ошибка NO-PROPOSAL-CHOSEN уведомительное сообщение, phase1 должен быть удалён. 15:48:39 ipsec Сообщение: '0 b= @ b= a l H a a '. 15:49:08 ipsec инициирована новая фаза 2 переговоров: 202.134.5.6[500]<=>202.134.7.6[500] 15:49:08 ipsec фатальная ошибка NO-PROPOSAL-CHOSEN уведомительное сообщение, phase1 должен быть удалён. 15:49:08 ipsec Сообщение: '0 b% D b= a l a a '. 15:49:09 ipsec 202.134.7.6 сдались в получении IPsec-SA из-за времени ожидания. 15:49:09 ipsec IPsec-SA истек: ESP/Туннель 202.134.7.6[0]->202.134.5.6[0] spi=89663660(0x55828ac) 15:49:38 ipsec 202.134.7.6 сдались в получении IPsec-SA из-за времени ожидания. 15:49:38 ipsec IPsec-SA истек: ESP/Туннель 202.134.7.6[0]->202.134.5.6[0] spi=32828498(0x1f4ec52) 15:49:39 ipsec инициирована новая фаза 2 переговоров: 202.134.5.6[500]<=>202.134.7.6[500] 15:49:39 ipsec фатальная ошибка NO-PROPOSAL-CHOSEN уведомительное сообщение, phase1 должен быть удалён. 15:49:39 ipsec Сообщение: '0 b= < b= a ll[ a a '. 15:50:09 ipsec 202.134.7.6 сдались в получении IPsec-SA из-за времени ожидания. 15:50:09 ipsec IPsec-SA истек: ESP/Туннель 202.134.7.6[0]->202.134.5.6[0] spi=196734536(0xbb9ee48) 15:50:09 ipsec инициирована новая фаза 2 переговоров: 202.134.5.6[500]<=>202.134.7.6[500] 15:50:09 ipsec фатальная ошибка NO-PROPOSAL-CHOSEN уведомительное сообщение, phase1 должен быть удалён. 15:50:09 ipsec Сообщение: '0 b= b= a l Qa a какие предполагаемые проблемы на стороне MK?

rwebb616

Guest

26.09.2011 14:19:00

Я знаю, что эта тема старая, но я тоже сталкиваюсь с проблемой, пытаясь установить соединение с ASA-5510 на версии 8.2(5). Когда я смотрю на поле ipsec, где перечислены SAs, отображается "none" для алгоритма аутентификации и алгоритма шифрования. Это говорит о том, что стороны, похоже, неправильно ведут переговоры о предложении. Я пробовал разные параметры как на ASA, так и на стороне MTK. Кто-нибудь может помочь? -Рич

fewi Guest	#3 0 26.09.2011 14:33:00 Покажи конфигурацию с обеих сторон. У меня успешно работает IPsec туннель между RouterOS 5.7 и ASA 8.4.

rwebb616 Guest	#4 0 26.09.2011 14:40:00 Я могу легко показать конфигурацию с Cisco... какую команду я использую для RouterOS? В основном я использую winbox исключительно для настройки. -Рич

fewi

Guest

26.09.2011 15:10:00

“/ip ipsec export”, также постите вывод команды “/ip firewall nat export”, чтобы убедиться, что исключение NAT настроено правильно. Кроме того, пожалуйста, постите вывод команд “/ip address print detail” и “/ip route print detail”, так как это помогает лучше понять конфигурацию маршрутизатора. Также убедитесь, что вы разрешаете udp/500 и ipsec-esp или ipsec-ah, исходящие от ASA, в цепочке ввода фильтра брандмауэра, или разрешаете udp/500 и udp/4500, если используете NAT-T. Если вы не уверены, добавьте вывод команды “/ip firewall filter export”.

rwebb616 Guest	#6 0 26.09.2011 15:49:00 Ну… Я убрал конфигурацию с роутера, не зная, сколько времени потребуется, чтобы получить ответ, а когда вернул конфигурацию, всё заработало. Странно, но единственное, что я изменил, это PSK. Я его изменил, чтобы опубликовать конфиг без моего реального ключа. Может быть, у одной из сторон возникла проблема с ключом, в котором есть символ $? Это кажется странным, учитывая, что он должен быть защищен. У меня также есть другой VPN, который является динамическим от другого поставщика, и каждый раз, когда я касаюсь конфигурации VPN, его туннель падает, и ему приходится восстанавливать соединение со своей стороны. Это тоже кажется мне странным, особенно если я не сбрасывал SAs. — Рич

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры