+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с IPSEC и NAT-T.

Проблема с IPSEC и NAT-T., RouterOS

rpress

Guest

21.07.2009 15:13:00

У меня есть VPN с ноутбука с Windows 7 на MikroTik с использованием L2TP/IPSEC с NAT-T. Работает без NAT-T, но при использовании NAT-T появляется странная ошибка:
14:59:28 ipsec respond new phase 1 negotiation: 68.183.xxx.xxx[500]<=>67.169.xxx.xxx[500]
14:59:28 ipsec begin Identity Protection mode.
14:59:28 ipsec received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
14:59:28 ipsec received Vendor ID: RFC 3947
14:59:28 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
14:59:28 ipsec
14:59:28 ipsec received Vendor ID: FRAGMENTATION
14:59:28 ipsec Selected NAT-T version: RFC 3947
14:59:28 ipsec invalid DH group 20.
14:59:28 ipsec invalid DH group 19.
14:59:28 ipsec Hashing 68.183.xxx.xxx[500] with algo #2
14:59:28 ipsec NAT-D payload #0 verified
14:59:28 ipsec Hashing 67.169.xxx.xxx[500] with algo #2
14:59:28 ipsec NAT-D payload #1 doesn't match
14:59:28 ipsec NAT detected: PEER
14:59:28 ipsec Hashing 67.169.xxx.xxx[500] with algo #2
14:59:28 ipsec Hashing 68.183.xxx.xxx[500] with algo #2
14:59:28 ipsec Adding remote and local NAT-D payloads.
14:59:28 ipsec NAT-T: ports changed to: 67.169.xxx.xxx[4500]<->68.183.xxx.xxx[4500]
14:59:28 ipsec KA list add: 68.183.xxx.xxx[4500]->67.169.xxx.xxx[4500]
14:59:28 ipsec ISAKMP-SA established 68.183.xxx.xxx[4500]-67.169.xxx.xxx[4500] spi:4ad7f89178310abd:5ca6f63efdbf1
b79
14:59:28 ipsec respond new phase 2 negotiation: 68.183.xxx.xxx[4500]<=>67.169.xxx.xxx[4500]
14:59:28 ipsec Update the generated policy : 192.168.1.101/32[1701] 68.183.xxx.xxx/32[1701] proto=udp dir=in
14:59:28 ipsec Adjusting my encmode UDP-Transport->Transport
14:59:28 ipsec Adjusting peer's encmode UDP-Transport(4)->Transport(2)
14:59:28 ipsec IPsec-SA established: ESP/Transport 67.169.xxx.xxx[4500]->68.183.xxx.xxx[4500] spi=76079680(0x488e
240)
14:59:28 ipsec IPsec-SA established: ESP/Transport 68.183.xxx.xxx[4500]->67.169.xxx.xxx[4500] spi=4062236856(0xf2
20d0b8)
14:59:28 ipsec the length in the isakmp header is too big.
14:59:29 ipsec the length in the isakmp header is too big.
14:59:31 ipsec the length in the isakmp header is too big.
14:59:35 ipsec the length in the isakmp header is too big. Есть какие-нибудь идеи, что делать с ошибкой "the length in the isakmp header is too big" ???

sergejs Guest	#2 0 02.10.2009 12:29:00 Большое спасибо за отчет. Возможно, нам понадобится твоя помощь. Кажется, нам удалось отследить эту проблему снова. Ищем способ как это исправить.

rpress Guest	#3 0 02.10.2009 16:25:00 Отлично, что ты занимаешься решением этой проблемы. Я не знаю, как это исправить, но попробую что-нибудь придумать.

williamm

Guest

20.10.2009 01:58:00

Привет! У меня та же самая проблема. Версия RouterOS 3.20. Клиент L2TP/IPSEC – компьютер с Vista SP2, находится за NAT-устройством (Dlink DI-624). Сервер L2TP/IPSEC – Mikrotik с публичным IP и включенным NAT-T. В логе та же ошибка: ipsec the length in the isakmp header is too big.

rga

Guest

22.10.2009 13:24:00

Нет соединения с этой "фишкой"? Поведение по умолчанию IPsec NAT traversal (NAT-T) изменено в Windows XP Service Pack 2 http://support.microsoft.com/kb/885407/en-us Как настроить сервер L2TP/IPsec за NAT-T устройством в Windows Vista и в Windows Server 2008 http://support.microsoft.com/kb/926179/en-us

rpress Guest	#6 0 22.10.2009 16:26:00 По-моему, изменение, которое внедрила Microsoft, работает только тогда, когда сервер находится за NAT. У меня сервер не за NAT, только клиент.

williamm

Guest

29.10.2009 01:29:00

Точно, это изменение от Microsoft должно повлиять только на NAT-серверы, но в моем случае сервер тоже имеет публичный IP, и клиент находится за NAT. Кроме того, я попробовал использовать XP SP1 в качестве клиента, но проблема осталась. Кто-нибудь пробовал с новой версией v4.x? У меня обновление до v3.30 не помогло. С уважением, Уильям.

williamm

Guest

03.01.2010 01:15:00

Ну что, я только что попробовал с v4.4, но безрезультатно. Пожалуйста, "rpress", нужно ли было что-то настраивать в /ip ipsec policy? Я ничего там не настраивал, потому что оставил включенным "Generate Policy" в /ip ipsec peer. При подключении RouterOS создает два Established SAs с публичными IP-адресами с сервера и клиента как обычно. Но создает только одну Policy, используя Natted IP клиента в качестве источника и публичный IP сервера в качестве назначения. В логах пишет: packet shorter than isakmp headre size. С уважением, William.

roadracer96 Guest	#9 0 04.01.2010 18:22:00 IPSEC NAT-T работает нормально, но L2TP отвечает за пределами туннеля, так что просто бьёт файрвол клиента.

sergejs Guest	#10 0 07.01.2010 09:38:00 Уильям, ошибка изначально была другой. Пожалуйста, расскажи подробнее о твоей конфигурации: какое устройство у тебя на другом конце? Какая настройка для /ip ipsec peer на MikroTik RouterOS?

williamm

Guest

#11

09.01.2010 17:45:00

sergejs, устройство RouterOS – это Soekris x86 SBC модели NET4501. На нем работает L2TP/IPSec сервер со следующей конфигурацией IPSec: /ip ipsec proposal set default auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer add address=0.0.0.0/0:500 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main generate-policy=yes hash-algorithm= sha1 lifebytes=0 lifetime=1d nat-traversal=yes proposal-check=obey secret= “12345” send-initial-contact=no L2TP/IPSec клиент – ноутбук с Windows Vista SP2, подключенный к Интернету с динамическим IP и использующий беспроводной роутер Dlink DI-624 с включенным NAT. Я также пытался подключить ноутбук напрямую к публичному IP (не через роутер с NAT) и отключил NAT-T в RouterOS, и тогда все работает отлично.

С уважением,
Wiliam.

sergejs Guest	#12 0 04.12.2009 08:29:00 Исправление этой проблемы будет включено в версию 4.4. Спасибо вам большое за ваши сообщения. Если у кого-то возникнут проблемы с заголовком ISAKMP, пожалуйста, дайте нам знать.

rpress Guest	#13 0 04.12.2009 15:28:00 Ура! Спасибо! Теперь по поводу L2TP/IPSEC - L2TP все еще немного барахлит, отвечает с неправильного IP… http://forum.mikrotik.com/t/problems-with-vpn/28324/1

rpress Guest	#14 0 24.12.2009 21:29:00 Я только что протестировал IPSEC NAT-T и это действительно работает в v4.4.

sergejs Guest	#15 0 11.01.2010 13:05:00 Выложи точную ошибку, которая у тебя в /log print.

williamm

Guest

#16

16.01.2010 20:22:00

Привет, сергей! Вот мой вывод лога:

18:12:06 ipsec ответил на новый запрос фазы 1: 189.19.xxx.xxx[500]<=>201.1.xxx.xxx[500]
18:12:06 ipsec начал режим защиты идентификации.
18:12:06 ipsec получил сломанный идентификатор Microsoft: MS NT5 ISAKMPOAKLEY
18:12:06 ipsec получил идентификатор поставщика: RFC 3947
18:12:06 ipsec получил идентификатор поставщика: draft-ietf-ipsec-nat-t-ike-02
18:12:06 ipsec получил идентификатор поставщика: FRAGMENTATION
18:12:06 ipsec выбрал версию NAT-T: RFC 3947
18:12:06 ipsec недействительна группа DH 20.
18:12:06 ipsec недействительна группа DH 19.
18:12:06 ipsec Хэширование 189.19.86.219[500] с алгоритмом #2
18:12:06 ipsec NAT-D полезная нагрузка #0 проверена
18:12:06 ipsec Хэширование 201.1.105.73[500] с алгоритмом #2
18:12:06 ipsec NAT-D полезная нагрузка #1 не соответствует
18:12:06 ipsec NAT обнаружен: PEER
18:12:07 ipsec Хэширование 201.1.xxx.xxx[500] с алгоритмом #2
18:12:07 ipsec Хэширование 189.19.xxx.xxx[500] с алгоритмом #2
18:12:07 ipsec Добавление удаленных и локальных полезных нагрузок NAT-D.
18:12:07 ipsec NAT-T: порты изменены на: 201.1.xxx.xxx[60052]<->189.19.xxx.xxx[4500]
18:12:07 ipsec список KA добавить: 189.19.xxx.xxx[4500]->201.1.xxx.xxx[60052]
18:12:07 ipsec ISAKMP-SA установлен 189.19.xxx.xxx[4500]-201.1.xxx.xxx[60052] spi :a98aeec3c010dc6d:6d9f0d8a225f8f17
18:12:08 ipsec ответил на новый запрос фазы 2: 189.19.xxx.xxx[4500]<=>201.1.xxx.xxx[60052]
18:12:08 ipsec политика не найдена, попробуем сгенерировать политику : 10.0.2.3/32[1701] 1 89.19.86.219/32[1701] proto=udp dir=in
18:12:08 ipsec Регулировка моего режима шифрования UDP-Transport->Transport
18:12:08 ipsec Регулировка режима шифрования партнёра UDP-Transport(4)->Transport(2)
18:12:08 ipsec идентификатор трансляции не совпадает: мой:3DES партнёр:AES
18:12:08 ipsec не соответствует
18:12:08 ipsec Регулировка моего режима шифрования UDP-Transport->Transport
18:12:08 ipsec идентификатор трансляции не совпадает: мой:3DES партнёр:AES
18:12:08 ipsec не соответствует
18:12:08 ipsec Регулировка режима шифрования партнёра UDP-Transport(4)->Transport(2)
18:12:08 ipsec длина в заголовке isakmp слишком велика.
18:12:08 ipsec IPsec-SA установлен: ESP/Transport 201.1.xxx.xxx[60052]->189.19.xxx.xxx[4500] spi=207874013(0xc63e7dd)
18:12:08 ipsec IPsec-SA установлен: ESP/Transport 189.19.xxx.xxx[4500]->201.1.xxx.xxx[60052] spi=2053995087(0x7a6d7a4f)
18:12:09 ipsec длина в заголовке isakmp слишком велика.
18:12:11 ipsec длина в заголовке isakmp слишком велика.
18:12:15 ipsec длина в заголовке isakmp слишком велика.
18:12:23 ipsec длина в заголовке isakmp слишком велика.
18:12:28 ipsec пакет короче размера заголовка isakmp (5, 3063842135, 28)
18:12:33 ipsec длина в заголовке isakmp слишком велика.
18:12:43 ipsec сгенерирована политика, удаляю её.
18:12:43 ipsec получаем исходный адрес из полезной нагрузки ID 10.0.2.3[1701] prefixlen=32 ul_ proto=17
18:12:43 ipsec получаем целевой адрес из полезной нагрузки ID 189.19.xxx.xxx[1701] prefixlen=32 ul_proto=17
18:12:43 ipsec pfkey spddelete(inbound) отправлено.
18:12:43 ipsec очищен IPsec-SA proto_id=ESP spi=2053995087.
18:12:43 ipsec pfkey X_SPDDELETE не удалась: No such file or directory
18:12:43 ipsec pfkey X_SPDDELETE не удалась: No such file or directory
18:12:43 ipsec ISAKMP-SA истек 189.19.xxx.xxx[4500]-201.1.xxx.xxx[60052] spi:a98aeec3c010dc6d:6d9f0d8a225f8f17
18:12:44 ipsec ISAKMP-SA удален 189.19.xxx.xxx[4500]-201.1.xxx.xxx[60052] spi:a98aeec3c010dc6d:6d9f0d8a225f8f17
18:12:44 ipsec список KA удалить: 189.19.xxx.xxx[4500]->201.1.xxx.xxx[60052]

С уважением,
Уильям.

michalciza2 Guest	#17 0 17.01.2010 22:29:00 Привет! У кого-нибудь получилось настроить работающий Windows L2TP/IPSec, когда клиент находится за NAT? (с использованием NAT-T) У меня установлена последняя версия v4.5, поэтому я надеялся, что удастся подключиться к L2TP/IPSec с Windows или iPhone, находящихся за NAT, ведь раньше это было невозможно из-за ошибки “ipsec the length in the isakmp header is too big.”. Эта ошибка теперь исправлена. Но все равно проблема остается: невозможно установить L2TP/IPSec соединение, когда клиентский компьютер находится за NAT, даже если включена опция NAT-Traversal. L2TP постоянно перезванивает, потому что L2TP-сервер не может связаться с IP-адресом клиента, поскольку IPSec работает некорректно. Вот автоматически сгенерированная IPSec Policy: src-address=10.0.2.15/32:any dst-address=90.180.35.153/32:any protocol=udp action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=10.0.2.15 sa-dst-address=93.190.55.253 proposal=default priority=2 Может быть, проблема в приватном IP-адресе “10.0.2.15/32”? L2TP-сервер получает управляющие сообщения клиента, но клиент не может получать ответы сервера. Было бы ЗДОРОВО, если команда Mikrotik показала бы нам, как это заставить работать. Потому что я потратил кучу времени в поисках рабочего решения, но похоже, что никому это пока не удается. СПАСИБО!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры