The packet is retransmitted by mikrotik что это
The packet is retransmitted by mikrotik что это
Mon Apr 13, 2020 7:29 pm
Newest problem is as follows if you can point me out to what is causing this issue.
I have an L2TP with IPSEC server running on a MikroTiK RB4011.
I can connect from an android device using LTE to the L2TP without any problems BUT if the device switches to WIFI and tries to connect it fails miserably.
I read somewhere that i have to change the generate policy from port strict to port override but it creates dynamic rules which i can’t change and i can’t seem to figure out
how to add it manually and point it to the L2TP server on 6.46.x version.
On the RB4011 there is also a working IPSEC site to site tunnel.
/ppp profile
add bridge=bridge1 dns-server=8.8.8.8 local-address=192.168.0.254 name=\
l2tp_ipsec remote-address=vpnpool use-encryption=required
/ppp secret
add name=admin password=xxxxxxxx profile=l2tp_ipsec service=l2tp
/interface l2tp-server server
set allow-fast-path=yes authentication=mschap1,mschap2 default-profile=\
l2tp_ipsec enabled=yes ipsec-secret=xxxxxxx keepalive-timeout=disabled \
max-mru=1460 max-mtu=1460 use-ipsec=yes
/ip firewall filter
add action=accept chain=input dst-port=500,1701,4500 protocol=udp
add action=accept chain=input comment=»IPSec enable » protocol=ipsec-esp
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 7:52 pm
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 8:13 pm
Is the Android phone connected to the WiFi provided by the very same 4011 which is the L2TP/IPsec server, or is it provided by the same Mikrotik which itself is a peer of the site-to-site IPsec tunnel, or is it totally unrelated to either of them?
Is the site-to-site tunnel an IKE(v1) or IKEv2 one?
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 8:16 pm
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 8:18 pm
Is the Android phone connected to the WiFi provided by the very same 4011 which is the L2TP/IPsec server, or is it provided by the same Mikrotik which itself is a peer of the site-to-site IPsec tunnel, or is it totally unrelated to either of them?
Is the site-to-site tunnel an IKE(v1) or IKEv2 one?
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 8:35 pm
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 9:01 pm
the packet is retransmitted about 5 times then phase1 negotiation failed
i tried creating it manually but i must be doing something wrong i dial in and it says established but the phone still tries to connect (shows connecting instead of connected) then fails.
I obviously must be doing it wrong i have to try and find out how to make it in transport mode.
/ip ipsec peer
add name=l2tpserver passive=yes
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-128
add dh-group=modp1024 dpd-interval=1m dpd-maximum-failures=3 enc-algorithm=\
aes-128 name=profile1
/ip ipsec peer
add address=xx.xx.xx.xx/32 comment=vpn01 exchange-mode=ike2 name=peer1 profile=\
profile1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc lifetime=0s
add enc-algorithms=aes-128-cbc lifetime=1d name=secure-proposal
/ip ipsec identity
add generate-policy=port-override peer=peer1 secret=xxxxxxxxxx
add generate-policy=port-override peer=l2tpserver remote-id=ignore secret=\
xxxxxxxxxx
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
add dst-address=192.168.5.0/24 peer=peer1 proposal=secure-proposal \
sa-dst-address=xx.xx.xx.xx sa-src-address=192.168.1.235 src-address=\
192.168.0.0/24 tunnel=yes
the policy is created on its own i see dynamically the l2tp one and gets deleted when it fails.
Also when i attemp all these i switch OFF the L2TP server is that correct?
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 9:17 pm
Which «the» packet? The first response one from the Mikrotik to the phone or one of the later ones?
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 9:18 pm
Please check in the firewall and make sure UDP 4500 is accepted in the input chain.
ALso, from a quick look at yout config, tunnel=no, not yes. Otherwise Tunnel Mode is used and not Transport mode.
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 9:25 pm
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 9:33 pm
Which «the» packet? The first response one from the Mikrotik to the phone or one of the later ones?
I am trying to get my head around the concept.
So static IPSEC entries mean /ppp l2tp-server enabled but without the use of ipsec in that menu?
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 9:35 pm
Please check in the firewall and make sure UDP 4500 is accepted in the input chain.
ALso, from a quick look at yout config, tunnel=no, not yes. Otherwise Tunnel Mode is used and not Transport mode.
I have port 500,1701,4500 in the input chain accepted and at the top of the firewall list.
The tunnel is from the site to site connection
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 9:44 pm
21:34:18 ipsec,info respond new phase 1 (Identity Protection): 192.168.1.235[500] xxxxxxxxxxx[500]
21:34:21 ipsec,info the packet is retransmitted by xxxxxxxxxxxxx[500].
21:34:24 ipsec,info the packet is retransmitted by xxxxxxxxxxxxx[500].
21:34:27 ipsec,info the packet is retransmitted by xxxxxxxxxxxxx[500].
21:34:30 ipsec,info the packet is retransmitted by xxxxxxxxxxxxx[500].
21:34:33 ipsec,info the packet is retransmitted by xxxxxxxxxxxxx[500].
21:34:48 l2tp,info first L2TP UDP packet received from xxxxxxxxxxxxxx
21:35:18 ipsec,error phase1 negotiation failed due to time up 192.168.1.235[500] xxxxxxxxxxx[500]
where x public ip that tries to come in the 4011
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 9:50 pm
Correct. Setting use-ipsec to no in /ip l2tp-server server will not prevent actual use of IPsec but it will just prevent the dynamic IPsec configuration from being created. The dynamically created one uses the default peer profile, default proposal, and creates the identity with generate-policy set to port-strict. Creating these two items manually allows you to customize them, to test whether the generate-policy=port-override will resolve the issue.
If this change doesn’t help as I assume, I’d recommend you set /tool sniffer set file-name=android_startup.pcap, run /tool sniffer ip-address=the.public.ip.of.the.WiFi.where.the.phone.is.connected while you run the log (/log print follow-only file=android_startup where topics
«ipsec») and do a connection attempt from the phone.
This will show you whether the packets towards the phone actually leave the Mikrotik and if yes, which route they take. The dump on the screen will show the physical interfaces; the pcap file will allow to analyse the packets in Wireshark.
Re: L2TP/IPSEC Connectivity Issue
Mon Apr 13, 2020 10:09 pm
Correct. Setting use-ipsec to no in /ip l2tp-server server will not prevent actual use of IPsec but it will just prevent the dynamic IPsec configuration from being created. The dynamically created one uses the default peer profile, default proposal, and creates the identity with generate-policy set to port-strict. Creating these two items manually allows you to customize them, to test whether the generate-policy=port-override will resolve the issue.
If this change doesn’t help as I assume, I’d recommend you set /tool sniffer set file-name=android_startup.pcap, run /tool sniffer ip-address=the.public.ip.of.the.WiFi.where.the.phone.is.connected while you run the log (/log print follow-only file=android_startup where topics
«ipsec») and do a connection attempt from the phone.
This will show you whether the packets towards the phone actually leave the Mikrotik and if yes, which route they take. The dump on the screen will show the physical interfaces; the pcap file will allow to analyse the packets in Wireshark.
The packet is retransmitted by mikrotik что это
Вопрос
После нажатия «Подключится» ничего не происходит, крутится колесо загрузки все время
Винду переустанавливать не охота, помогите плз..
Ответы
На клиенте проверьте наличие ключа в реестре:
Спасибо Anahaym его метод тоже работал, пару дней)))
На клиенте проверьте наличие ключа в реестре:
Уточните пожалуйста, а удается ли подключится через следующее?
P.S. Проблему сами иногда воспроизвожу когда использую подключение через WiFi-интерфейс, помогает подключиться, через указанное выше меню.
Avis de non-responsabilité:
Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.
Все ответы
Уточните пожалуйста, а удается ли подключится через следующее?
P.S. Проблему сами иногда воспроизвожу когда использую подключение через WiFi-интерфейс, помогает подключиться, через указанное выше меню.
Avis de non-responsabilité:
Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.
Но метод так и не работает, вроде все сначала идет, даже спрашивает авторизацию,
На клиенте проверьте наличие ключа в реестре:
На клиенте проверьте наличие ключа в реестре:
На клиенте проверьте наличие ключа в реестре:
Какая-то странная ситуация,
даже при пересоздании подключения, спрашивает пароль,
Не помогает.. Даже авторизацию(пароль) не запрашивает..
Уточните пожалуйста в логах Mikrotik случайно нет следующих записей на момент проблемы:
Avis de non-responsabilité:
Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.
Есть такая «буква»(запись в Микротике)
Но на момент появления этих логов на Микротике у данного сотрудника возникают проблемы с подключением по впн L2TP?
Также сообщите пожалуйста если используются стороние антивирусные приложения или межметевые экраны, необходимо знать для поиска возможной проблемы.
Avis de non-responsabilité:
Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.
Но на момент появления этих логов на Микротике у данного сотрудника возникают проблемы с подключением по впн L2TP?
Также сообщите пожалуйста если используются стороние антивирусные приложения или межметевые экраны, необходимо знать для поиска возможной проблемы.
Avis de non-responsabilité:
Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.
Да, у одного пользователя данная проблема возникла, хотя адресс, можно видить разный у пользователя и того кто входит под Админом..
Ipsec = Mikrotik+Racoon
Дано:
Racoon (Главный 1)
Задача:
Объеденить сети 11.11.11.11 и 22.22.22.22 IpSec
Решение:
Конфигурация Mikrotik
тебе сначала нужно настроить маршрутизацию между подсетями внешний IP 1.1.1.1 внешний IP 2.2.2.2 также нужно поднять тунель например GRE а потом уже шифровать трафик
тебе сначала нужно настроить маршрутизацию между подсетями внешний IP 1.1.1.1 внешний IP 2.2.2.2
также нужно поднять тунель например GRE а потом уже шифровать трафик
Вроде ни чего вредного. Если копи-паст. там далеко на микротике интернет не упадет (опыта с ним нет, как оно на что реагирует)?
там anydesk трудится, но все же да!
А если по сабжу, почему именно ipsec?
Широко поддерживается. Поэтому на центральном коммутаторе ovpn, racoon, ppp.
Широко поддерживается. Поэтому на центральном коммутаторе ovpn, racoon, ppp.
Только вот микротики не подходят ни для опенвпн, ни для ваергарда, ибо кривые изнутри.
ни для опенвпн, ни для ваергарда, ибо кривые изнутри
Ну, если прямо так копипастить, то вообще ничего не изменится, потому что эти правила нужно в начало ставить. Это просто кусок моего конфига.
Сегодня проверим. Логика есть, сообщение «retransmitted» в сторону микротик может указывать на то, что он не хочет принимать пакеты даже несмотря на то, что весь трафик от IP второго плеча разрешен.
Добавил правила, разместил первыми, ошибка та же:
The packet is retransmitted by mikrotik что это
Tue Mar 20, 2012 1:23 am
I’m new to the forums and am looking forward to learning from the community here!
I need to setup some IPSec VPNs for my company. The only problem is that I’m also new to IPSec. So, I thought I would take two MikroTik’s and see if I could do it myself before working with our partners. However, I’m having some trouble. I read through a few guides and still must be missing something.
Below I’ve posted my logs upon generating «Interesting Traffic». I’ve highlighted in red what stands out to me. Also below are the IPSec configurations for both MikroTik’s. Again, I’ve highlighted the oddball in red.
Can anyone help me with this? I’d appreciate it!
Thanks much!
z3r0day
The Initiator’s (MikroTik#1) logs show:
17:38:08 ipsec IPSEC: IPsec-SA request for 99.x.y.z queued due to no phase1 found.
17:38:08 ipsec IPSEC: initiate new phase 1 negotiation: 204.x.y.z[500] 99.x.y.z[500]
17:38:08 ipsec IPSEC: begin Identity Protection mode.
17:38:08 ipsec IPSEC: received Vendor ID: DPD
17:38:08 ipsec IPSEC: ISAKMP-SA established 204.x.y.z[500]-99.x.y.z[500] spi:47e41b3a1bd2b89e:e79fdd2e11bfd272
17:38:09 ipsec IPSEC: initiate new phase 2 negotiation: 204.x.y.z[500] 99.x.y.z[500]
17:38:09 ipsec IPSEC: IPsec-SA established: ESP/Tunnel 99.x.y.z[0]->204.x.y.z[0] spi=34599208(0x20ff128)
17:38:09 ipsec IPSEC: IPsec-SA established: ESP/Tunnel 204.x.y.z[0]->99.x.y.z[0] spi=119021329(0x7181f11)
17:38:19 ipsec IPSEC: the packet is retransmitted by 99.x.y.z[500].
The Responder’s (MikroTik#2) logs show:
17:38:08 ipsec IPSEC: respond new phase 1 negotiation: 99.x.y.z[500] 204.x.y.z[500]
17:38:08 ipsec IPSEC: begin Identity Protection mode.
17:38:08 ipsec IPSEC: received Vendor ID: DPD
17:38:08 ipsec IPSEC: ISAKMP-SA established 99.x.y.z[500]-204.x.t.z[500] spi:47e41b3a1bd2b89e:e79fdd2e11bfd272
17:38:09 ipsec IPSEC: respond new phase 2 negotiation: 99.x.y.z[500] 204.x.y.z[500]
17:38:19 ipsec IPSEC: pfkey UPDATE failed: No such file or directory
17:38:19 ipsec IPSEC: pfkey ADD failed: No such file or directory
17:38:39 ipsec IPSEC: 204.x.y.z give up to get IPsec-SA due to time up to wait.
17:38:39 ipsec IPSEC: IPsec-SA expired: ESP/Tunnel 204.x.y.z[0]->99.x.y.z[0] spi=119021329(0x7181f11
MikroTik#1 (204.x.y.z)
/ip ipsec peer print
address=99.x.y.z/32:500 auth-method=pre-shared-key secret=»password» generate-policy=no exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-192 dh-group=modp1024 lifetime=8h lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1
/ip ipsec policy print
src-address=192.168.100.0/24:any dst-address=192.168.60.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=204.x.y.z sa-dst-address=99.x.y.z proposal=Test priority=0
/ip ipsec proposal print
name=»Test» auth-algorithms=sha1 enc-algorithms=aes-128 lifetime=1h pfs-group=modp1024
/ip ipsec installed-sa print
1 E spi=0x9DEC98A src-address=99.x.y.z dst-address=204.x.y.z auth-algorithm=sha1 enc-algorithm=aes replay=4 state=mature auth-key=»0a6139c33a5bfd0712453e7ba01de831013a3796″ enc-key=»943268ec03629c331a933b0872a4139c» add-lifetime=48m/1h use-lifetime=0s/0s lifebytes=0/0
3 E spi=0xDF49AEF src-address=204.x.y.z dst-address=99.x.y.z auth-algorithm=sha1 enc-algorithm=aes replay=4 state=mature auth-key=»5f44b0f1aaf74da86b012d5c2bcb8295e12a371b» enc-key=»3c54e431472208dcf4b007640dd925a1″ add-lifetime=48m/1h use-lifetime=0s/0s lifebytes=0/0
MikroTik#2 (99.x.y.z)
/ip ipsec peer print
address=204.x.y.z/32:500 auth-method=pre-shared-key secret=»password» generate-policy=no exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-192 dh-group=modp1024 lifetime=8h lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1
/ip ipsec policy print
src-address=192.168.60.0/24:any dst-address=192.168.100.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=99.x.y.z sa-dst-address=204.x.y.z proposal=Test priority=0
/ip ipsec proposal print
name=»Test» auth-algorithms=sha1 enc-algorithms=aes-128 lifetime=1h pfs-group=modp1024
Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph2 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.
Ошибки firewall на всех этапах
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.