routeos的IPSEC功能不支持DH group组？

happyboygd · 发表于 2015-9-7 22:52:53

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

想利用routeros 与某国产防火墙组建ipsec隧道，在组建过程中发现RouterOS无法配置dh组为 dh1、dh2、dh5,而国产防火墙以及cisco都支持dh组功能，隧道没有组建成功，不知道routeros6以后会不会增加此功能。

jian52151 · 发表于 2015-9-8 16:44:38

不可以吗？

arainbow · 发表于 2015-9-9 10:48:05

本帖最后由 arainbow 于 2015-9-9 10:49 编辑

虽然不太明白你说的，但ROUTEROS 5里有这样的配置界面，很像你说的DH1、2、5：

是否这样理解：
Diffie-Hellman Groups
DH1 = 768 bit group
DH2 = 1024 bit group
DH5 = 1536 bit group

WIKI里也有这样的说明（原连接：http://wiki.mikrotik.com/wiki/Manual:IP/IPsec），是否是你想要的：

Diffie-Hellman GroupsDiffie-Hellman (DH) key exchange protocol allows two parties without any initial shared secret to create one securely. The following Modular Exponential (MODP) and Elliptic Curve (EC2N) Diffie-Hellman (also known as "Oakley") Groups are supported:

Diffie-Hellman Group	Name	Reference
Group 1	768 bit MODP group	RFC 2409
Group 2	1024 bits MODP group	RFC 2409
Group 3	EC2N group on GP(2^155)	RFC 2409
Group 4	EC2N group on GP(2^185)	RFC 2409
Group 5	1536 bits MODP group	RFC 3526

happyboygd · 发表于 2016-2-24 10:05:37

DH group 1 对应 768-bit

DH group 2 对应 1024-bit

DH group 5 对应 1536-bit

happyboygd · 发表于 2016-2-24 10:08:10

arainbow 发表于 2015-9-9 10:48
虽然不太明白你说的，但ROUTEROS 5里有这样的配置界面，很像你说的DH1、2、5：

谢谢，已配置成功
routeros 可以与网御防火墙、启明防火墙、山石网科防火墙互联。
天融信的还没测，应该问题也不大。

avnsih · 发表于 2016-3-3 14:36:06

ros 基本和大部分的路由器 ipsec都能对接的，参数多多慢慢学习

账号		自动登录	找回密码
密码			注册

[vpn] routeos的IPSEC功能不支持DH group组？

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。