[РЕШЕНО] Fortigate FG60E настроен как сервер L2TP/IPSec с PSK как подключить к нему Mikrotik (l2tp client)

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
[РЕШЕНО] Fortigate FG60E настроен как сервер L2TP/IPSec с PSK как подключить к нему Mikrotik (l2tp client)
У меня Fortigate FG60E настроен как сервер L2TP/IPSec с PSK. Клиенты, такие как компьютеры и мобильные телефоны, подключаются к нему без каких-либо проблем, просто используя PSK, имя пользователя и пароль без дополнительной настройки.

Mikrotik 6.48.8 также пытаюсь настроить как клиент l2tp но у меня ошибка: MikroTik не подключается к FortiGate, а в журнале VPN FG говорится об ошибке IPSec Phase2 с «предложением одноранговой SA, не соответствующим локальной политике».
Проблема в том что default - proposals имеет pfs-group значение modp1024 а для фортигейт необходимо выбрать none так как это использует встроенный VPN-клиент Microsoft Windows.

РЕШЕНИЕ:

1. создаем клиент l2tp:  
/interface l2tp-client add allow=mschap2 connect-to=ip_fortigate disabled=no ipsec-secret=psk_key_ name=fortigate password=password_ use-ipsec=yes user=user_

(при этом psk_key_ тут можно не указавать)

2. Создаем  identity  с ключем

/ip ipsec identity add peer=fortigate remote-id=ignore secret=psk_key_

3. Создаем  peer какоторый будет ссылаться на identity  

/ip ipsec peer add address=forti_ip local-address=local_ip name=fortigate

4. Создаем proposal с значением: pfs-group=none
/ip ipsec proposal add name=fortigate pfs-group=none
(собственно это то из-за чего у вас проблема)

5. собираем теперь все вместе. policy  где мы используем peer=fortigate proposal=fortigate
/ip ipsec policy add dst-address=forti_ip dst-port=1701 peer=fortigate proposal=fortigate protocol=udp src-address=local_ip src-port=1701
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Добрый день. не сработал этот способ. делал все шаг-в-шаг. также отмечу, что немного нарушен порядок действий при настройке Некротика: сначала необходимо создать peer, затем создавать identity
скажите, с новыми  FortyOS и mikrotik этот способ работает?
Зависит от того как оно настроена на самом форти.
вот как выглядит фаза два на форти:
https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/386346/l2tp-over-ipsec
config vpn ipsec phase2-interface
   edit "L2tpoIPsec"
       set phase1name "L2tpoIPsec"
       set proposal aes256-md5 3des-sha1 aes192-sha1
       set pfs disable
       set encapsulation transport-mode
       set l2tp enable
   next
end

и вот для этой фазы2 пропосал должен выглядить так:
/ip ipsec proposal add auth-algorithms=sha1 disabled=yes enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m name=fortigate pfs-group=none
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Страницы: 1
Ответить
Форма ответов
Текст сообщения*
:) ;) :D 8-) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.