Mikrotik IKEv2 отваливается передача файлов

@Archi74 · Регистрация: 08.11.2013

Author24 — интернет-сервис помощи студентам

Дано:
Микротик hAP AC2 с прошивкой 7.13.3 в роли роутера с поднятым сервером VPN IKEv2 по логину/паролю. Пользователи на radius, поднятом на нем же. Предположим, что фаервол ничего не блокирует
Клиент на Windows 11, ВПН настроен стандартными средствами
ВПН подключается, доступ в локалку есть, все ок

Проблема:
Если начать передавать с клиента в локалку какой-либо файл, то после передачи примерно 200 мб доступ в локалку обрывается, пакеты не идут, ВПН сессия при этом отображается как активная и на сервере и на клиенте. Микротик в лог присылает сообщение "no proposal chosen" раз в минуту

Если поднять с теми же настройками IPSEC L2TP сервер - проблем с передачей файлов нет.
Решение забить на IKEv2 и использовать L2TP не предлагать

Код

# model = RBD52G-5HacD2HnD

/interface bridge
add name=LAN port-cost-mode=short

/ip address
add address=172.16.0.1/24 interface=LAN network=172.16.0.0
add address=172.16.1.1/24 disabled=yes interface=LAN network=172.16.1.0

/ip pool
add name=lan_pool ranges=172.16.0.150-172.16.0.199
add name=vpn_pool ranges=172.16.1.200-172.16.1.230

/ip dns
set servers=77.88.8.88,77.88.8.2

/ip dhcp-client
add interface=ether1

/interface bridge port
add bridge=LAN interface=ether2
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5 internal-path-cost=10 path-cost=10
add bridge=LAN interface=wlan1 internal-path-cost=10 path-cost=10
add bridge=LAN interface=wlan2 internal-path-cost=10 path-cost=10

/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192

/ip ipsec policy group
add name=ike2
add name=for_ios

/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-192
add dh-group=modp1024 enc-algorithm=aes-256,aes-192 hash-algorithm=sha256 \
    name=profile-ike2 prf-algorithm=sha256
add dh-group=modp1024 enc-algorithm=aes-256,aes-192 name=for_ios

/ip ipsec peer
add exchange-mode=ike2 name=peerike2 passive=yes profile=profile-ike2

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr lifetime=1d
add auth-algorithms=sha256,sha1 enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-192-ctr lifetime=1d name=\
    proposal-ike2 pfs-group=none

/ip ipsec identity
add auth-method=eap-radius certificate=\
    letsencrypt-autogen_2024-01-29T13:00:42Z,lets-encrypt-r3.pem_0 \
    generate-policy=port-strict mode-config=ike2-modconf peer=peerike2 \
    policy-template-group=ike2

/ip ipsec policy
add dst-address=172.16.1.0/24 group=ike2 src-address=0.0.0.0/0 template=yes

/ip ipsec mode-config
add address-pool=vpn_pool name=ike2-modconf split-include=172.16.0.0/24

/radius
add address=127.0.0.1 service=ppp,ipsec

/user-manager
set certificate=*0 enabled=yes

/user-manager router
add address=127.0.0.1 name=router1

/user-manager user
add name=%ИМЯ ЮЗЕРА%

/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5

/system ntp client
set enabled=yes

/system ntp client servers
add address=ntp0.ntp-servers.net

@.None · 01.02.2024, 15:21

Сообщение от Archi74

Решение забить на IKEv2 и использовать L2TP не предлагать

ок, предлагаю ради теста использовать sstp

сейчас с рандомными блокировками ВПНов тяжело понять в чем дело

или соберите стенд, подключитесь из локалки к своему ВПНу и погоняйте трафик, так же будет деградация сервиса?

чем не угодил l2tp/ipsec?

@.None 4293 / 1630 / 325 Регистрация: 23.06.2009 Сообщений: 5,807
	01.02.2024, 15:21	2
	Сообщение от Archi74 Решение забить на IKEv2 и использовать L2TP не предлагать ок, предлагаю ради теста использовать sstp сейчас с рандомными блокировками ВПНов тяжело понять в чем дело или соберите стенд, подключитесь из локалки к своему ВПНу и погоняйте трафик, так же будет деградация сервиса? чем не угодил l2tp/ipsec? 0