Вопрос или проблема
Вчера мы обновили наш RB1100AH2x с 6.19 до 6.22 и потеряли наши L2TP / IPSec туннели в процессе. Логи теперь заполнены ошибками IPSec, в которых говорится
не удалось предварительно обработать пакет ph2.
В журнале изменений для 6.21 я заметил, что больше нельзя использовать пустое значение для группы политик в политике Peer. Мы изначально настроили наш туннель таким образом, и я подозреваю, что это и есть причина ошибок.
Может кто-нибудь подсказать, как решить эту проблему?
Смотрите соответствующую конфигурацию ниже (обратите внимание, что первая запись в peer ipsec не имеет значения – запись “1” вызывает у меня наибольшее беспокойство)
/ip ipsec peer> print
Флаги: X - отключен, D - динамический
0 X адрес=xx.xx.xx.xx/32 локальный-адрес=0.0.0.0 пассивный=no
порт=500 метод-аутентификации=предварительно-общий-ключ секрет="редакция"
генерировать-политику=no группа-шаблон-политики=*FFFFFFFF
режим-обмена=основной отправить-инициальный-контакт=yes
нат-траверсал=no проверка-предложения=подчиняться алгоритм-хеша=md5
алгоритм-шифрования=3des группа-dh=modp1024 срок-действия=1d
байты-жизни=0 интервал-dpd=отключить-dpd максимальное-количество-неудач=1
1 D адрес=0.0.0.0/0 локальный-адрес=0.0.0.0 пассивный=yes порт=500
метод-аутентификации=предварительно-общий-ключ.secret="редакция"
генерировать-политику=строгий-порт группа-шаблон-политики=по-умолчанию
режим-обмена=основной-l2tp отправить-инициальный-контакт=yes
нат-траверсал=yes алгоритм-хеша=sha1
алгоритм-шифрования=3des,aes-128,aes-192,aes-256
группа-dh=modp1024 срок-действия=1d интервал-dpd=2m
максимальное-количество-неудач=5
/ip ipsec proposal> print
Флаги: X - отключен, * - по-умолчанию
0 * имя="по-умолчанию" алгоритмы-аутентификации=sha1
алгоритмы-шифрования=3des,aes-256-cbc срок-действия=30m
группа-pfs=modp1024
Вы должны удалить группу, которая находится в IP/ipsec группах.
После этого в вкладке peer будет написано “неизвестно”. После этого все должно заработать.
Ответ или решение
Причины проблем с IPSec туннелями после обновления RouterOS на Mikrotik RB1100AH2x
После обновления RouterOS на вашей модели Mikrotik RB1100AH2x до версии 6.22 вы столкнулись с проблемами работы L2TP/ IPSec туннелей и получаете ошибку в логах:
failed to pre-process ph2 packet.Основной причиной этой проблемы может быть изменённая функциональность в версии 6.21, где было запрещено использование пустого значения для групп политики в настройках IPSec пиров. Ранее вы могли настроить туннели с использованием пустых значений, что хорошо работало на более ранних версиях, но теперь это вызывает ошибки, поскольку система больше не поддерживает такие конфигурации.
Рекомендации по устранению проблемы
Для решения данной проблемы рекомендуется выполнить следующие шаги:
-
Удалите Объединённую Группу Политик (Policy Group):
- Перейдите в раздел конфигурации IPSec. Вам необходимо удалить обрабатываемую группу, которая может быть установлена по умолчанию и которая может препятствовать корректной работе туннелей.
/ip ipsec policy group remove [номер_группы]Как упомянуто в вашем сообщении, после удаления группы это приведёт к тому, что параметры в вкладке «peer» будут отмечены как "unknown". Это нормальное поведение, на которое следует реагировать, потому что оно говорит о том, что система не может использовать некорректные конфигурации.
-
Проверьте и обновите настройки пиров:
- Убедитесь, что все настройки, такие как адреса, секреты, методы аутентификации и т.д., соответствуют вашим требованиям и актуальны. Ваша конфигурация на данный момент выглядит следующим образом:
/ip ipsec peer printПроверьте, что параметр
generate-policyустановлен наport-strict, если это необходимо для вашей конфигурации. Также убедитесь, что используемые алгоритмы шифрования и хеширования актуальны. -
Обновите настройки предложений IPSec:
- Убедитесь, что все предложения IPSec соответствуют вашей новой конфигурации. Протестируйте работоспособность предложений по умолчанию, если не требуется особая настройка.
/ip ipsec proposal print -
Перезагрузите маршрутизатор:
- После внесения всех необходимых изменений рекомендуется перезагрузить маршрутизатор с целью применения новых конфигураций:
/system reboot
Заключение
После выполнения указанных шагов ваша конфигурация должна заработать, и ошибки в логах о недоступности ph2 пакетов должны исчезнуть. Таким образом, правильное управление параметрами IPSec и устранение некорректных конфигураций — это ключевые шаги для восстановления функциональности ваших L2TP / IPSec туннелей. Если проблема продолжается, обратите внимание на совместимость всех протоколов и параметры безопасности, используемые в ваших установках.
Если у вас всё ещё возникают сложности, рекомендуется обратиться к поддержке MikroTik или консультациям на форумах сообщества.