我们昨天将 RB1100AH2x 从 6.19 升级到 6.22,在此过程中丢失了 L2TP / IPSec 隧道。日志中现在充斥着 IPSec 错误,指出
failed to pre-process ph2 packet.
在 6.21 的更改日志中,我注意到您不能再在 Peer 策略中为策略组使用空白值。我们最初以这种方式配置了我们的隧道,我怀疑这是导致错误的原因。
有人能指出我如何解决这个问题的正确方向吗?
请参阅下面的相关配置(请注意,ipsec 对等体中的第一个条目并不相关 - 条目“1”是我最关心的
/ip ipsec peer> print
Flags: X - disabled, D - dynamic
0 X address=xx.xx.xx.xx/32 local-address=0.0.0.0 passive=no
port=500 auth-method=pre-shared-key secret="redacted"
generate-policy=no policy-template-group=*FFFFFFFF
exchange-mode=main send-initial-contact=yes
nat-traversal=no proposal-check=obey hash-algorithm=md5
enc-algorithm=3des dh-group=modp1024 lifetime=1d
lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1
1 D address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500
auth-method=pre-shared-key secret="redacted"
generate-policy=port-strict policy-template-group=default
exchange-mode=main-l2tp send-initial-contact=yes
nat-traversal=yes hash-algorithm=sha1
enc-algorithm=3des,aes-128,aes-192,aes-256
dh-group=modp1024 lifetime=1d dpd-interval=2m
dpd-maximum-failures=5
/ip ipsec proposal> print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1
enc-algorithms=3des,aes-256-cbc lifetime=30m
pfs-group=modp1024
答案1
您必须删除 IP/ipsec 组中的组。
然后它将在对等选项卡中显示未知。此后,它应该可以工作。