Как исправить проблему miniport wan?

Meaning of WAN Miniport (SSTP) not working??

WAN Miniport (SSTP) not working? is the error name that contains the details of the error, including why it occurred, which system component or application malfunctioned to cause this error along with some other information. The numerical code in the error name contains data that can be deciphered by the manufacturer of the component or application that malfunctioned. The error using this code may occur in many different locations within the system, so even though it carries some details in its name, it is still difficult for a user to pinpoint and fix the error cause without specific technical knowledge or appropriate software.

IKEv2 Notify Message Types — Error Types

Expert(s)
Tero Kivinen, Valery Smyslov
Reference
Available Formats
Range Registration Procedures
0-8191 Expert Review
8192-16383 Private use
Value NOTIFY MESSAGES — ERROR TYPES Reference
Reserved
1 UNSUPPORTED_CRITICAL_PAYLOAD
2-3 Reserved
4 INVALID_IKE_SPI
5 INVALID_MAJOR_VERSION
6 Reserved
7 INVALID_SYNTAX
8 Reserved
9 INVALID_MESSAGE_ID
10 Reserved
11 INVALID_SPI
12-13 Reserved
14 NO_PROPOSAL_CHOSEN
15-16 Reserved
17 INVALID_KE_PAYLOAD
18-23 Reserved
24 AUTHENTICATION_FAILED
25-33 RESERVED
34 SINGLE_PAIR_REQUIRED
35 NO_ADDITIONAL_SAS
36 INTERNAL_ADDRESS_FAILURE
37 FAILED_CP_REQUIRED
38 TS_UNACCEPTABLE
39 INVALID_SELECTORS
40 UNACCEPTABLE_ADDRESSES
41 UNEXPECTED_NAT_DETECTED
42 USE_ASSIGNED_HoA
43 TEMPORARY_FAILURE
44 CHILD_SA_NOT_FOUND
45 INVALID_GROUP_ID
46 AUTHORIZATION_FAILED
47-8191 Unassigned
8192-16383 Private use

Последние штрихи

Осталось объединить нужные интерфейсы в мосты и проверить работу.

MikroTik M151-office

Создадим мост и добавим туда туннель и ранее созданный VLAN интерфейс

#
#
/interface bridge
add name=office-tunnels
/interface bridge port
add bridge=office-tunnels interface=v200office
add bridge=office-tunnels interface=tunnel-m152

1
2
3
4
5
6
7
8
9

 
 
#
#

interfacebridge

add name=office-tunnels

interfacebridge port

add bridge=office-tunnels interface=v200office

add bridge=office-tunnels interface=tunnel-m152

Как раз здесь я и поясную, зачем поднимал интерфейсы VLAN на портах wan обоих микротиков. Мне (и вам) они нужны для тестирования. Т.е. в физический внешний интерфейс wan кабель воткнут. Он работает. Соответственно работают и все поднятые на нем VLAN-интерфейсы. А так как я присвоил этим интерфейсам IP-адреса в офисе и в «удаленном» офисе, то мне этого будет достаточно для проверки. А увидит ли микротик центрального офиса внутреннюю сеть удаленого офиса, я узнаю пропинговав соответствующие адреса. Заодно посмотрю как тикает счетчик байтов в IPsec, подтверждая, что трафик шифруется. В дальнейшем эти айпишники не нужны, достаточно будет объединить нужные интерфейсы (внутренней сети и моста) в бридж.

MikroTik M152-remote1

#
#
/interface bridge
add name=office-tunnels
/interface bridge port
add bridge=office-tunnels interface=tunnel-m151
add bridge=office-tunnels interface=v200-office

1
2
3
4
5
6
7
8
9

 
 
#
#

interfacebridge

add name=office-tunnels

interfacebridge port

add bridge=office-tunnels interface=tunnel-m151

add bridge=office-tunnels interface=v200-office

Если все было сделано правильно, то вы должны увидеть такую картину на обоих ваших роутерах:

#
#
> ping 192.168.200.2
SEQ HOST SIZE TTL TIME STATUS
0 192.168.200.2 56 64 1ms
1 192.168.200.2 56 64 1ms
2 192.168.200.2 56 64 1ms
3 192.168.200.2 56 64 1ms
4 192.168.200.2 56 64 1ms

1
2
3
4
5
6
7
8
9
10
11

 
 
#
#

admin@M151-office>ping192.168.200.2

SEQ HOST                                     SIZE TTL TIME  STATUS

192.168.200.256641ms

1192.168.200.256641ms

2192.168.200.256641ms

3192.168.200.256641ms

4192.168.200.256641ms

#
#
> ping 192.168.200.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.200.1 56 64 1ms
1 192.168.200.1 56 64 1ms
2 192.168.200.1 56 64 1ms
3 192.168.200.1 56 64 1ms
4 192.168.200.1 56 64 1ms

1
2
3
4
5
6
7
8
9
10
11

 
 
#
#

admin@M152-remote1>ping192.168.200.1

SEQ HOST                                     SIZE TTL TIME  STATUS

192.168.200.156641ms

1192.168.200.156641ms

2192.168.200.156641ms

3192.168.200.156641ms

4192.168.200.156641ms

Если так, то поздравляю, мы построили прозрачную сеть, по которой будет бегать любой трафик, включая DHCP. Т.е. вы можете поставить один DHCP-сервер в центральном офисе и он будет вещать на все остальные офисы

Правда, с одной важной оговоркой: вы должны быть стопроцентно (нет, двестипроцентно) уверены в качестве связи, чего не скажешь про интернет. Но если ваши офисы (или точки продаж) расположены в одном здании — в торговом центре, например, то один настроенный DHCP-сервер в центральном офисе облегчит вашу нелегкую админскую жизнь

Настройка Mikrotik2

Настройка Firewall

Разрешаем пакеты от Mikrotik1

IP → Firewall → Filter rules

> /ip firewall filter
> add chain=input action=accept protocol=udp dst-port=500 src-address=X.X.X.X
> add chain=input action=accept protocol=ipsec-esp src-address=X.X.X.X
> add chain=input action=accept protocol=ipsec-ah src-address=X.X.X.X
> add chain=input action=accept protocol=udp src-address=X.X.X.X

Разрешаем пакеты для внутренних сетей

Данное правило необходимо поставить первым, чтобы трафик не уходил куда попало!

IP → Firewall → NAT

> /ip firewall nat
> add chain=srcnat action=accept src-address=192.168.20.0/23 dst-address=192.168.10.0/24

Настройка IPSEC

Настройка шифрования

IP → IPsec → Proposals

> /ip ipsec proposals
> add name="Secure" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024

Настройка Policy

Не стоит оставлять поля «Src. Address» и «Dst. Address» со значениями по умолчанию (0.0.0.0/0) — в этом случае вы получите радостно моргающий лампочками кирпич и понадобится делать сброс настроек Mikrotik!

IP → IPsec → Policy

> /ip ipsec policy
> add src-address=192.168.20.0/24 src-port=any dst-address=192.168.10.0/24 dst-port=any
     protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes
     sa-src-address=Y.Y.Y.Y sa-dst-address=X.X.X.X proposal=Secure priority=0

Настройка Peer

IP → IPsec → Peers

> /ip ipsec peers
> add address=X.X.X.X local-address=:: passive=no port=500 auth-method=pre-shared-key 
     secret="Pa$$word" generate-policy=no policy-template-group=default exchange-mode=main 
     send-initial-contact=yes nat-traversal=no hash-algorithm=sha1 enc-algorithm=aes-128 
     dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

IKEv2 Configuration Payload Attribute Types

Registration Procedure(s)
Expert Review
Expert(s)
Tero Kivinen, Valery Smyslov
Reference
Note
Attribute Types with an "*" may be multi-valued on return only if
multiple values were requested.
Available Formats
Value Attribute Type Multi-Valued Length Reference
Reserved
1 INTERNAL_IP4_ADDRESS YES* 0 or 4 octets
2 INTERNAL_IP4_NETMASK NO 0 or 4 octets
3 INTERNAL_IP4_DNS YES 0 or 4 octets
4 INTERNAL_IP4_NBNS YES 0 or 4 octets
5 Reserved
6 INTERNAL_IP4_DHCP YES 0 or 4 octets
7 APPLICATION_VERSION NO 0 or more
8 INTERNAL_IP6_ADDRESS YES* 0 or 17 octets
9 Reserved
10 INTERNAL_IP6_DNS YES 0 or 16 octets
11 Reserved
12 INTERNAL_IP6_DHCP YES 0 or 16 octets
13 INTERNAL_IP4_SUBNET YES 0 or 8 octets
14 SUPPORTED_ATTRIBUTES NO Multiple of 2
15 INTERNAL_IP6_SUBNET YES 17 octets
16 MIP6_HOME_PREFIX YES 0 or 21 octets
17 INTERNAL_IP6_LINK NO 8 or more
18 INTERNAL_IP6_PREFIX YES 17 octets
19 HOME_AGENT_ADDRESS NO 16 or 20 [http://www.3gpp.org/ftp/Specs/html-info/24302.htm][]
20 P_CSCF_IP4_ADDRESS YES 0 or 4 octets
21 P_CSCF_IP6_ADDRESS YES 0 or 16 octets
22 FTT_KAT NO 2 octets
23 EXTERNAL_SOURCE_IP4_NAT_INFO NO 0 or 6 []
24 TIMEOUT_PERIOD_FOR_LIVENESS_CHECK NO 0 or 4 octets []
25 INTERNAL_DNS_DOMAIN YES 0 or more
26 INTERNAL_DNSSEC_TA YES 0 or more
27-16383 Unassigned
16384-32767 Private Use
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector