Как исправить проблему miniport wan?
Содержание:
Meaning of WAN Miniport (SSTP) not working??
WAN Miniport (SSTP) not working? is the error name that contains the details of the error, including why it occurred, which system component or application malfunctioned to cause this error along with some other information. The numerical code in the error name contains data that can be deciphered by the manufacturer of the component or application that malfunctioned. The error using this code may occur in many different locations within the system, so even though it carries some details in its name, it is still difficult for a user to pinpoint and fix the error cause without specific technical knowledge or appropriate software.
IKEv2 Notify Message Types — Error Types
- Expert(s)
-
Tero Kivinen, Valery Smyslov
- Reference
- Available Formats
| Range | Registration Procedures |
|---|---|
| 0-8191 | Expert Review |
| 8192-16383 | Private use |
| Value | NOTIFY MESSAGES — ERROR TYPES | Reference |
|---|---|---|
| Reserved | ||
| 1 | UNSUPPORTED_CRITICAL_PAYLOAD | |
| 2-3 | Reserved | |
| 4 | INVALID_IKE_SPI | |
| 5 | INVALID_MAJOR_VERSION | |
| 6 | Reserved | |
| 7 | INVALID_SYNTAX | |
| 8 | Reserved | |
| 9 | INVALID_MESSAGE_ID | |
| 10 | Reserved | |
| 11 | INVALID_SPI | |
| 12-13 | Reserved | |
| 14 | NO_PROPOSAL_CHOSEN | |
| 15-16 | Reserved | |
| 17 | INVALID_KE_PAYLOAD | |
| 18-23 | Reserved | |
| 24 | AUTHENTICATION_FAILED | |
| 25-33 | RESERVED | |
| 34 | SINGLE_PAIR_REQUIRED | |
| 35 | NO_ADDITIONAL_SAS | |
| 36 | INTERNAL_ADDRESS_FAILURE | |
| 37 | FAILED_CP_REQUIRED | |
| 38 | TS_UNACCEPTABLE | |
| 39 | INVALID_SELECTORS | |
| 40 | UNACCEPTABLE_ADDRESSES | |
| 41 | UNEXPECTED_NAT_DETECTED | |
| 42 | USE_ASSIGNED_HoA | |
| 43 | TEMPORARY_FAILURE | |
| 44 | CHILD_SA_NOT_FOUND | |
| 45 | INVALID_GROUP_ID | |
| 46 | AUTHORIZATION_FAILED | |
| 47-8191 | Unassigned | |
| 8192-16383 | Private use |
Последние штрихи
Осталось объединить нужные интерфейсы в мосты и проверить работу.
MikroTik M151-office
Создадим мост и добавим туда туннель и ранее созданный VLAN интерфейс
#
#
/interface bridge
add name=office-tunnels
/interface bridge port
add bridge=office-tunnels interface=v200office
add bridge=office-tunnels interface=tunnel-m152
|
1 |
interfacebridge add name=office-tunnels interfacebridge port add bridge=office-tunnels interface=v200office add bridge=office-tunnels interface=tunnel-m152 |
Как раз здесь я и поясную, зачем поднимал интерфейсы VLAN на портах wan обоих микротиков. Мне (и вам) они нужны для тестирования. Т.е. в физический внешний интерфейс wan кабель воткнут. Он работает. Соответственно работают и все поднятые на нем VLAN-интерфейсы. А так как я присвоил этим интерфейсам IP-адреса в офисе и в «удаленном» офисе, то мне этого будет достаточно для проверки. А увидит ли микротик центрального офиса внутреннюю сеть удаленого офиса, я узнаю пропинговав соответствующие адреса. Заодно посмотрю как тикает счетчик байтов в IPsec, подтверждая, что трафик шифруется. В дальнейшем эти айпишники не нужны, достаточно будет объединить нужные интерфейсы (внутренней сети и моста) в бридж.
MikroTik M152-remote1
#
#
/interface bridge
add name=office-tunnels
/interface bridge port
add bridge=office-tunnels interface=tunnel-m151
add bridge=office-tunnels interface=v200-office
|
1 |
interfacebridge add name=office-tunnels interfacebridge port add bridge=office-tunnels interface=tunnel-m151 add bridge=office-tunnels interface=v200-office |
Если все было сделано правильно, то вы должны увидеть такую картину на обоих ваших роутерах:
#
#
> ping 192.168.200.2
SEQ HOST SIZE TTL TIME STATUS
0 192.168.200.2 56 64 1ms
1 192.168.200.2 56 64 1ms
2 192.168.200.2 56 64 1ms
3 192.168.200.2 56 64 1ms
4 192.168.200.2 56 64 1ms
|
1 |
admin@M151-office>ping192.168.200.2 SEQ HOST SIZE TTL TIME STATUS 192.168.200.256641ms 1192.168.200.256641ms 2192.168.200.256641ms 3192.168.200.256641ms 4192.168.200.256641ms |
#
#
> ping 192.168.200.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.200.1 56 64 1ms
1 192.168.200.1 56 64 1ms
2 192.168.200.1 56 64 1ms
3 192.168.200.1 56 64 1ms
4 192.168.200.1 56 64 1ms
|
1 |
admin@M152-remote1>ping192.168.200.1 SEQ HOST SIZE TTL TIME STATUS 192.168.200.156641ms 1192.168.200.156641ms 2192.168.200.156641ms 3192.168.200.156641ms 4192.168.200.156641ms |
Если так, то поздравляю, мы построили прозрачную сеть, по которой будет бегать любой трафик, включая DHCP. Т.е. вы можете поставить один DHCP-сервер в центральном офисе и он будет вещать на все остальные офисы
Правда, с одной важной оговоркой: вы должны быть стопроцентно (нет, двестипроцентно) уверены в качестве связи, чего не скажешь про интернет. Но если ваши офисы (или точки продаж) расположены в одном здании — в торговом центре, например, то один настроенный DHCP-сервер в центральном офисе облегчит вашу нелегкую админскую жизнь
Настройка Mikrotik2
Настройка Firewall
Разрешаем пакеты от Mikrotik1
IP → Firewall → Filter rules
> /ip firewall filter > add chain=input action=accept protocol=udp dst-port=500 src-address=X.X.X.X > add chain=input action=accept protocol=ipsec-esp src-address=X.X.X.X > add chain=input action=accept protocol=ipsec-ah src-address=X.X.X.X > add chain=input action=accept protocol=udp src-address=X.X.X.X
Разрешаем пакеты для внутренних сетей
Данное правило необходимо поставить первым, чтобы трафик не уходил куда попало!
IP → Firewall → NAT
> /ip firewall nat > add chain=srcnat action=accept src-address=192.168.20.0/23 dst-address=192.168.10.0/24
Настройка IPSEC
Настройка шифрования
IP → IPsec → Proposals
> /ip ipsec proposals > add name="Secure" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024
Настройка Policy
Не стоит оставлять поля «Src. Address» и «Dst. Address» со значениями по умолчанию (0.0.0.0/0) — в этом случае вы получите радостно моргающий лампочками кирпич и понадобится делать сброс настроек Mikrotik!
IP → IPsec → Policy
> /ip ipsec policy
> add src-address=192.168.20.0/24 src-port=any dst-address=192.168.10.0/24 dst-port=any
protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes
sa-src-address=Y.Y.Y.Y sa-dst-address=X.X.X.X proposal=Secure priority=0
Настройка Peer
IP → IPsec → Peers
> /ip ipsec peers
> add address=X.X.X.X local-address=:: passive=no port=500 auth-method=pre-shared-key
secret="Pa$$word" generate-policy=no policy-template-group=default exchange-mode=main
send-initial-contact=yes nat-traversal=no hash-algorithm=sha1 enc-algorithm=aes-128
dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5
IKEv2 Configuration Payload Attribute Types
- Registration Procedure(s)
-
Expert Review
- Expert(s)
-
Tero Kivinen, Valery Smyslov
- Reference
- Note
-
Attribute Types with an "*" may be multi-valued on return only if multiple values were requested.
- Available Formats
| Value | Attribute Type | Multi-Valued | Length | Reference |
|---|---|---|---|---|
| Reserved | ||||
| 1 | INTERNAL_IP4_ADDRESS | YES* | 0 or 4 octets | |
| 2 | INTERNAL_IP4_NETMASK | NO | 0 or 4 octets | |
| 3 | INTERNAL_IP4_DNS | YES | 0 or 4 octets | |
| 4 | INTERNAL_IP4_NBNS | YES | 0 or 4 octets | |
| 5 | Reserved | |||
| 6 | INTERNAL_IP4_DHCP | YES | 0 or 4 octets | |
| 7 | APPLICATION_VERSION | NO | 0 or more | |
| 8 | INTERNAL_IP6_ADDRESS | YES* | 0 or 17 octets | |
| 9 | Reserved | |||
| 10 | INTERNAL_IP6_DNS | YES | 0 or 16 octets | |
| 11 | Reserved | |||
| 12 | INTERNAL_IP6_DHCP | YES | 0 or 16 octets | |
| 13 | INTERNAL_IP4_SUBNET | YES | 0 or 8 octets | |
| 14 | SUPPORTED_ATTRIBUTES | NO | Multiple of 2 | |
| 15 | INTERNAL_IP6_SUBNET | YES | 17 octets | |
| 16 | MIP6_HOME_PREFIX | YES | 0 or 21 octets | |
| 17 | INTERNAL_IP6_LINK | NO | 8 or more | |
| 18 | INTERNAL_IP6_PREFIX | YES | 17 octets | |
| 19 | HOME_AGENT_ADDRESS | NO | 16 or 20 | [http://www.3gpp.org/ftp/Specs/html-info/24302.htm][] |
| 20 | P_CSCF_IP4_ADDRESS | YES | 0 or 4 octets | |
| 21 | P_CSCF_IP6_ADDRESS | YES | 0 or 16 octets | |
| 22 | FTT_KAT | NO | 2 octets | |
| 23 | EXTERNAL_SOURCE_IP4_NAT_INFO | NO | 0 or 6 | [] |
| 24 | TIMEOUT_PERIOD_FOR_LIVENESS_CHECK | NO | 0 or 4 octets | [] |
| 25 | INTERNAL_DNS_DOMAIN | YES | 0 or more | |
| 26 | INTERNAL_DNSSEC_TA | YES | 0 or more | |
| 27-16383 | Unassigned | |||
| 16384-32767 | Private Use |
