-
-
mikruser
Long time Member
- Posts: 578
- Joined: Wed Jan 16, 2013 6:28 pm
Cannot connect to L2TP server from Windows 7: no suitable proposal found
Thu Dec 27, 2018 10:50 am
Hello,
CCR1009, 6.43.8
cannot connect to L2TP server from Windows 7 and Windows 2008 R2.
ipsec, error no suitable proposal found.
ipsec, error x.x.x.x failed to get valid proposal.
ipsec, error x.x.x.x failed to pre-process ph1 packet (side: 1, status 1).
ipsec, error x.x.x.x phase1 negotiation failed.
I tried all the algorithms, but without success
Image_l2tp1.png
Image_l2tp2.png
You do not have the required permissions to view the files attached to this post.
-
-
szt
just joined
- Posts: 20
- Joined: Mon Aug 06, 2018 9:43 pm
- Location: Czech Republic
Re: Cannot connect to L2TP server from Windows 7: no suitable proposal found [SOLVED]
Thu Dec 27, 2018 10:56 am
please post the whole config here (by /export hide-sensitive command)
please enable ipsec debug blog (by /system logging add topics=ipsec) command
and in case there is NAT between server and client: google «AssumeUDPEncapsulationContextOnSendRule»
-
-
shiyiqiang08
Frequent Visitor
- Posts: 61
- Joined: Wed Dec 05, 2018 7:35 am
Re: Cannot connect to L2TP server from Windows 7: no suitable proposal found
Thu Dec 27, 2018 11:26 am
in l2tp server setting ,there has ipsec choice
You do not have the required permissions to view the files attached to this post.
-
-
mikruser
Long time Member
- Posts: 578
- Joined: Wed Jan 16, 2013 6:28 pm
Topic Author
Re: Cannot connect to L2TP server from Windows 7: no suitable proposal found
Thu Dec 27, 2018 11:41 am
in case there is NAT between server and client: google «AssumeUDPEncapsulationContextOnSendRule»
Thanks, it helped!
- Вся активность
L2TP/IPSec перестал работать. Помогите вернуть…
Join the conversation
You can post now and register later.
If you have an account, sign in now to post with your account.
-
overdriven
- Сообщения: 4
- Зарегистрирован: 13 окт 2016, 13:16
- Откуда: Калининград
Здравствуйте!
Mikrotik RB951Ui-2HnD RouterOS 6.34.6
Интернет от провайдера получаю по PPPoE. Имею статический белый IP.
Практически каждую ночь имею вот такую запись в логе:
03:55:56 ipsec,error failed to get valid proposal.
03:55:56 ipsec,error failed to pre-process ph1 packet (side: 1, status 1).
03:55:56 ipsec,error phase1 negotiation failed.
Рядом ничего нет. Ближайшие записи:
nov/07 23:20:24 system,info,account user #### logged out from ##.##.##.## via winbox
06:31:07 dhcp,info TBase-DHCP assigned ##.##.##.## to ##:##:##:##:##:##
Что это?
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Посмотрите в микротике есть VPN с IPSec, то ли клиент, то ли сервер. Выключите.
Было бы проще, если бы показали конфиг.
-
overdriven
- Сообщения: 4
- Зарегистрирован: 13 окт 2016, 13:16
- Откуда: Калининград
gmx писал(а):Посмотрите в микротике есть VPN с IPSec, то ли клиент, то ли сервер. Выключите.
Было бы проще, если бы показали конфиг.
Я настраивал L2TP с IPsec сервер, но потом отключил.
Настройки proposal, сделал как по дефолту.
mrrc писал(а):У вас VPN-сервер поднят, по всей видимости? Кто-то пытался подключиться.
На вашей прошивке именно такие сообщения появлялись, на последних прошивках еще и адреса подключавшегося указывается.
Да, немного обновился, появился IP, с которого происходит подключение: 216.218.206.102
htmlweb.ru пишет, что это Домен: scan-05i.shadowserver.org
Вот так… Сканируют америкосы. Посмотрим, следующие IP из той же серии будут?
-
djek
- Сообщения: 1
- Зарегистрирован: 30 авг 2018, 14:00
извиняюсь за поднятие старой темы, но у меня та же самая проблема, L2TP с IPsec, и каждый день эти попытки спамят алертами в почту, что не приятно, подскажите как заблочить эту подсеть, чтобы они они обламывались на подходе?
-
ivan.Life
- Сообщения: 1
- Зарегистрирован: 27 фев 2019, 15:29
overdriven писал(а): ↑16 ноя 2016, 15:15
Да, немного обновился, появился IP, с которого происходит подключение: 216.218.206.102
htmlweb.ru пишет, что это Домен: scan-05i.shadowserver.orgВот так… Сканируют америкосы. Посмотрим, следующие IP из той же серии будут?
Та же фигня долбят с этого ip, только хосты разные бывают.. по этому собственно и пришёл сюда.
Остальным спасибо за ответ! надеюсь у меня всё правильно настроено и переживать не о чем )
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
У меня эта /24 подсеть на всех роутерах в перманентном блэклисте.
Telegram: @thexvo
-
Phantimbl4
- Сообщения: 1
- Зарегистрирован: 24 май 2022, 14:56
Господа, товарищи помогите решить данную проблему.
Про пытающихся пробиться левых, всё понятно
А когда сам пробиться не можешь, куда ткнуть ? Откуда смотреть?
no suitable proposal found
failed to get valid proposal
failed to pre-process pph1 packet (side:1 status 1)
phase 1 negotiation failed
-
seregaelcin
- Сообщения: 181
- Зарегистрирован: 27 фев 2016, 17:12
Должны совпадать настройки на 2х концах для 2х фаз
/system logging
add topics=ipsec,!packet
Вот что шлет андроид,
22:33:29 ipsec IKE Protocol: IKE
22:33:29 ipsec proposal #1
22:33:29 ipsec enc: aes128-cbc
22:33:29 ipsec enc: aes192-cbc
22:33:29 ipsec enc: aes256-cbc
22:33:29 ipsec enc: 3des-cbc
22:33:29 ipsec prf: hmac-sha256
22:33:29 ipsec prf: hmac-sha384
22:33:29 ipsec prf: hmac-sha512
22:33:29 ipsec prf: unknown
22:33:29 ipsec prf: hmac-sha1
22:33:29 ipsec auth: sha256
22:33:29 ipsec auth: sha384
22:33:29 ipsec auth: sha512
22:33:29 ipsec auth: sha1
22:33:29 ipsec auth: unknown
22:33:29 ipsec dh: ecp521
22:33:29 ipsec dh: ecp256
22:33:29 ipsec dh: ecp384
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: modp3072
22:33:29 ipsec dh: modp4096
22:33:29 ipsec dh: modp6144
22:33:29 ipsec dh: modp8192
22:33:29 ipsec dh: modp2048
22:33:29 ipsec proposal #2
22:33:29 ipsec enc: aes128-gcm
22:33:29 ipsec enc: aes192-gcm
22:33:29 ipsec enc: aes256-gcm
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec enc: unknown
22:33:29 ipsec prf: hmac-sha256
22:33:29 ipsec prf: hmac-sha384
22:33:29 ipsec prf: hmac-sha512
22:33:29 ipsec prf: unknown
22:33:29 ipsec prf: hmac-sha1
22:33:29 ipsec dh: ecp521
22:33:29 ipsec dh: ecp256
22:33:29 ipsec dh: ecp384
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: unknown
22:33:29 ipsec dh: modp3072
22:33:29 ipsec dh: modp4096
22:33:29 ipsec dh: modp6144
22:33:29 ipsec dh: modp8192
22:33:29 ipsec dh: modp2048
т.е. для него, например, могу выбрать конфиг для 1 фазы (вкладка profiles) enc: aes256-cbc auth: sha256 prf: hmac-sha256 (либо авто оставить) dh: modp2048
Для фазы 2 (вкладка Proposals) enc: aes256-cbc auth: sha256
22:33:31 ipsec IKE Protocol: ESP
22:33:31 ipsec proposal #1
22:33:31 ipsec enc: aes256-gcm
22:33:31 ipsec enc: aes128-gcm
22:33:31 ipsec enc: unknown
22:33:31 ipsec proposal #2
22:33:31 ipsec enc: aes256-cbc
22:33:31 ipsec enc: aes192-cbc
22:33:31 ipsec enc: aes128-cbc
22:33:31 ipsec auth: sha384
22:33:31 ipsec auth: sha256
22:33:31 ipsec auth: sha512
22:33:31 ipsec auth: sha1
Обладатель Mikrotik RB2011UAS-2HnD-IN
Как использовать OAuth2 со Spring Security в Java
Javaican 14.05.2025
Протокол OAuth2 часто путают с механизмами аутентификации, хотя по сути это протокол авторизации. Представьте, что вместо передачи ключей от всего дома вашему другу, который пришёл полить цветы, вы. . .
Анализ текста на Python с NLTK и Spacy
AI_Generated 14.05.2025
NLTK, старожил в мире обработки естественного языка на Python, содержит богатейшую коллекцию алгоритмов и готовых моделей. Эта библиотека отлично подходит для образовательных целей и. . .
Реализация DI в PHP
Jason-Webb 13.05.2025
Когда я начинал писать свой первый крупный PHP-проект, моя архитектура напоминала запутаный клубок спагетти. Классы создавали другие классы внутри себя, зависимости жостко прописывались в коде, а о. . .
Обработка изображений в реальном времени на C# с OpenCV
stackOverflow 13.05.2025
Объединение библиотеки компьютерного зрения OpenCV с современным языком программирования C# создаёт симбиоз, который открывает доступ к впечатляющему набору возможностей. Ключевое преимущество этого. . .
POCO, ACE, Loki и другие продвинутые C++ библиотеки
NullReferenced 13.05.2025
В C++ разработки существует такое обилие библиотек, что порой кажется, будто ты заблудился в дремучем лесу. И среди этого многообразия POCO (Portable Components) – как маяк для тех, кто ищет. . .
Паттерны проектирования GoF на C#
UnmanagedCoder 13.05.2025
Вы наверняка сталкивались с ситуациями, когда код разрастается до неприличных размеров, а его поддержка становится настоящим испытанием. Именно в такие моменты на помощь приходят паттерны Gang of. . .
Создаем CLI приложение на Python с Prompt Toolkit
py-thonny 13.05.2025
Современные командные интерфейсы давно перестали быть черно-белыми текстовыми программами, которые многие помнят по старым операционным системам. CLI сегодня – это мощные, интуитивные и даже. . .
Конвейеры ETL с Apache Airflow и Python
AI_Generated 13.05.2025
ETL-конвейеры – это набор процессов, отвечающих за извлечение данных из различных источников (Extract), их преобразование в нужный формат (Transform) и загрузку в целевое хранилище (Load). . . .
Выполнение асинхронных задач в Python с asyncio
py-thonny 12.05.2025
Современный мир программирования похож на оживлённый мегаполис – тысячи процессов одновременно требуют внимания, ресурсов и времени. В этих джунглях операций возникают ситуации, когда программа. . .
Работа с gRPC сервисами на C#
UnmanagedCoder 12.05.2025
gRPC (Google Remote Procedure Call) — открытый высокопроизводительный RPC-фреймворк, изначально разработанный компанией Google. Он отличается от традиционых REST-сервисов как минимум тем, что. . .
Допустим, что у Вас есть несколько сеток, связанных VPN (L2TP+IPSec) туннелями. Или без IPSec, всякое может быть. Или маршрутизатор стоит у родственника в Нидерландах и Вы используете его для обхода блокировки сайтов. Буквально через сутки-двое после настройки, в логах начинают появляться записи вида:
04:41:13 ipsec,info respond new phase 1 (Identity Protection): xxx.xxx.xxx.xxx[500]<=217.25.18.110[500] 04:41:13 ipsec,error no suitable proposal found.
04:41:13 ipsec,error 217.25.18.110 failed to get valid proposal.
04:41:13 ipsec,error 217.25.18.110 failed to pre-process ph1 packet (side: 1, stat us 1). 04:41:13 ipsec,error 217.25.18.110 phase1 negotiation fail
Это значит, что какой-то бот, управляемый добрым дядюшкой Ляо или другими товарищами, пытается подключится\подобрать пароль\вид авторизации. А может кто-то и вручную пытается расшатать дымоход вашего поместья Ваш VPN.
Я начал искать варианты защиты и наткнулся сначала на тему на официальном форуме, а в конце была ссылка на вот такой набор скриптов на Github.
Собственно, там все ясно, как белый день. Если кто не дружит с английским, то расскажу просто и быстро, как использовать их под свои нужды. Скачиваем правила для фаервола и 5 скрипов. Первые необходимо отредактировать, заменяем интерфейс ether1-WAN на свой и применяем в Mikrotik’е. Потом поднимаем правила повыше в списке.
Далее редактируем скрипты, аточнее переменные в начале. После добавляем скрипты в System — Scripts, а после этого и в планировщик — System — Scheduler.
Теперь осталось только проверить работоспособность, подключаемся к Mikrotik через Winbox, открываем логи и пытаемся подключиться к VPN серверу с некорректными учетными данными, должна появиться ошибка в логах. А после этого, когда отработает скрипт, IP будет занесен в список l2tp-brutforce в фаерволе и на почту придет сообщение.
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
https://github.com/ZMJGMADHPXWT/Mikrotik-scripts