Na wstepie zaznacze, ze nigdy nie mialem do czynienia z Mikrotik i to jest moje pierwsze spotkanie z ta platforma
Probuje zestawic IPsec tunnel pomiedzy Mikrotik a Fortigate40C a topologia wyglada wnastepujacy sposob. Nie mam dostepu do Fortigate oraz rutera gdzie jest robiony NAT do 195.171.x.x.
Jesli chodzi o ustawienia Phase1 oraz Phase2 dostalem wytyczne od strony gdzie jest Fortigate i zostalo to sprawdzone i wyglada na to, ze konfiguracja jest taka sama po obu stronach.
Widze ze Phase1 mi sie zestawia i jest established jak ponizej
Kod: Zaznacz cały
ip ipsec remote-peers print
0 local-address=10.57.68.3 port=4500 remote-address=82.20.x.x port=4500 state=established
side=initiator established=28m11s
Kiedy wykonuje ping z sieci 10.1.3.0 do sieci 10.1.9.0 w logach widze nastepujacy blad
Kod: Zaznacz cały
08:06:35 ipsec,debug new acquire 10.57.68.3[0]<=>82.20.x.x[0]
08:06:35 ipsec,debug suitable outbound SP found: 10.1.3.0/24[0] 10.1.9.0/24[0] proto=any dir=out
08:06:35 ipsec,debug suitable inbound SP found: 10.1.9.0/24[0] 10.1.3.0/24[0] proto=any dir=in
08:06:35 ipsec,debug,packet (proto_id=AH spisize=4 spi=00000000 spi_p=00000000 encmode=Tunnel reqid=
0:0)
08:06:35 ipsec,debug,packet (trns_id=SHA authtype=hmac-sha1)
08:06:35 ipsec,debug,packet (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Tunnel reqid
=0:0)
08:06:35 ipsec,debug,packet (trns_id=3DES encklen=0 authtype=hmac-sha1)
08:06:35 ipsec,debug,packet begin QUICK mode.
08:06:35 ipsec,debug,packet ===
08:06:35 ipsec,debug,packet begin QUICK mode.
08:06:35 ipsec,debug initiate new phase 2 negotiation: 10.57.68.3[0]<=>82.20.x.x[0]
.
.
.
.
08:06:36 ipsec,debug proto_id mismathed: my:2 peer:3
08:06:36 ipsec,debug proposal mismathed.
Kod: Zaznacz cały
ip ipsec proposal print
Flags: X - disabled, * - default
1 name="M7" auth-algorithms=sha1 enc-algorithms=3des,aes-128-cbc lifetime=12h pfs-group=none
Moze ktos mial podobny problem i wie co jest blednie skonfigurowane, albo co dokladnie oznacza w debugu proto-id my:2
[EDIT] proto-id odnosi sie do AH lub ESP to wynika z logow dobra sprawdze raz jescze z druga strona czy maja takie same ustawienia.
Pozdro,