Ваша корзина пуста

[РЕШЕНО] Fortigate FG60E настроен как сервер L2TP/IPSec с PSK как подключить к нему Mikrotik (l2tp client)

Guest

24.04.2023 13:41:44

У меня Fortigate FG60E настроен как сервер L2TP/IPSec с PSK. Клиенты, такие как компьютеры и мобильные телефоны, подключаются к нему без каких-либо проблем, просто используя PSK, имя пользователя и пароль без дополнительной настройки.

Mikrotik 6.48.8 также пытаюсь настроить как клиент l2tp но у меня ошибка: MikroTik не подключается к FortiGate, а в журнале VPN FG говорится об ошибке IPSec Phase2 с «предложением одноранговой SA, не соответствующим локальной политике».

Цитировать Имя

Системный Администратор - Филиппов Денис

Administrator

Сообщений: 842 Баллов: 8901 Рейтинг: 0 Регистрация: 09.02.2011

24.04.2023 13:58:47

Проблема в том что default - proposals имеет pfs-group значение modp1024 а для фортигейт необходимо выбрать none так как это использует встроенный VPN-клиент Microsoft Windows.

РЕШЕНИЕ:

1. создаем клиент l2tp:
/interface l2tp-client add allow=mschap2 connect-to=ip_fortigate disabled=no ipsec-secret=psk_key_ name=fortigate password=password_ use-ipsec=yes user=user_

(при этом psk_key_ тут можно не указавать)

2. Создаем identity с ключем

/ip ipsec identity add peer=fortigate remote-id=ignore secret=psk_key_

3. Создаем peer какоторый будет ссылаться на identity

/ip ipsec peer add address=forti_ip local-address=local_ip name=fortigate

4. Создаем proposal с значением: pfs-group=none
/ip ipsec proposal add name=fortigate pfs-group=none
(собственно это то из-за чего у вас проблема)

5. собираем теперь все вместе. policy где мы используем peer=fortigate proposal=fortigate
/ip ipsec policy add dst-address=forti_ip dst-port=1701 peer=fortigate proposal=fortigate protocol=udp src-address=local_ip src-port=1701

Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.

Цитировать Имя

FrostGuest

Guest

16.10.2024 14:23:46

Добрый день. не сработал этот способ. делал все шаг-в-шаг. также отмечу, что немного нарушен порядок действий при настройке Некротика: сначала необходимо создать peer, затем создавать identity
скажите, с новыми FortyOS и mikrotik этот способ работает?

Цитировать Имя

Системный Администратор - Филиппов Денис Administrator Сообщений: 842 Баллов: 8901 Рейтинг: 0 Регистрация: 09.02.2011	0 #4 24.10.2024 16:45:02 Зависит от того как оно настроена на самом форти. вот как выглядит фаза два на форти: https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/386346/l2tp-over-ipsec config vpn ipsec phase2-interface edit "L2tpoIPsec" set phase1name "L2tpoIPsec" set proposal aes256-md5 3des-sha1 aes192-sha1 set pfs disable set encapsulation transport-mode set l2tp enable next end и вот для этой фазы2 пропосал должен выглядить так: /ip ipsec proposal add auth-algorithms=sha1 disabled=yes enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m name=fortigate pfs-group=none Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
	Цитировать Имя

BBCode Правила

Форма ответов

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?
Регистрация