带有 mikrotik 的 Azure 站点到站点:缺少有效负载:ID_R

Posted

技术标签:

【中文标题】带有 mikrotik 的 Azure 站点到站点:缺少有效负载:ID_R【英文标题】:Azure Site-to-site with mikrotik: Payload missing: ID_R 【发布时间】:2019-09-11 12:59:35 【问题描述】:

我正在尝试使用 Mikrotik (RouterOS 6.43.10) 在 Azure 虚拟网络网关和本地站点之间建立站点到站点连接。

我遵循了各种配置手册:

https://blogs.technet.microsoft.com/netgeeks/2017/07/11/creating-a-site-to-site-***-ipsec-ikev2-with-azure-and-mikrotik-routeros/ https://github.com/Azure/Azure-***-config-samples/blob/bdc2939a90210a7aa8957f49a40eb0e8312530aa/MikroTik/Current/Site-to-Site_***_using_MikroTik_RouterOS.md http://www.dataone.nz/?p=561

根据 ipsec 日志,所有这些都失败并出现错误 payload missing: ID_R

有什么想法吗?

【问题讨论】:

您能否发布一些日志,直到出现错误为止? 【参考方案1】:

根据 RFC 4306, 可选的有效载荷 IDr 使发起者能够指定响应者的哪个 它想与之交谈的身份。这在机器打开时很有用 响应者正在运行的在 相同的 IP 地址。

您的设备需要 IDr,但 Azure 网关未发送它。您能否检查是否可以禁用需要 IDr 有效负载的功能?

【讨论】:

【参考方案2】:

我刚刚通过第三方供应商为客户设置 Azure 站点到站点 *** 时遇到了同样的问题。没有从他们那里得到任何真正的支持,我最终创建了一个 Azure 测试环境并找到了解决方案……一直在第三方工程师面前:需要启用“使用基于策略的流量选择器”。

问题在于 Mikrotik 路由器当前不支持 VTI,需要交换基于策略的流量选择器(TS_R、TS_I)才能选择要使用的 IPSEC 策略。

默认情况下,Azure 虚拟网络网关连接已禁用“使用基于策略的流量选择器”设置。您需要做的就是启用此设置,Azure 将发送正确的 IKEv2 有效负载,您的连接将立即建立。 ?

【讨论】:

以上是关于带有 mikrotik 的 Azure 站点到站点:缺少有效负载:ID_R的主要内容,如果未能解决你的问题,请参考以下文章

AWS 到 Azure 的连接:如何设置站点到站点的连接?

如何在Azure VM上配置IIS站点以接受来自其他外部IP地址的请求?

是否可以使用站点到站点 (***) 连接来连接两个 Azure VNet?

Windows Azure 和 Amazon AWS 之间的站点到站点 ***

站点到站点 *** 与点到站点 ***

如何将站点添加到托管在 Azure 中的 Yandex?