Jump to content

Recommended Posts

Posted

Добрый день :) Есть микротик серии CRS и Giga KN-1010. На обоих белые внешние IP-адреса. Создал IPSec-тоннель, сконфигурировал proposals, peer на микротике, policy между подсетями. На гиге как обычно по стандартной инструкции KB, тоннель отлично поднялся. С KN-1010 пингуется второй конец (микротик), со стороны микротика подсеть кинетика не пингуется... Подсети 192.168.131.0/24 на кинетике, 192.168.133.0/24 на микротике. Со стороны микротика создано стандартное правило firewall, отключающее NAT для пакетов на интерфейс кинетика, поднято наверх в разделе NAT:

/ip firewall nat add src-address=192.168.133.0/23 dst-address=192.168.131.0/24 action=accept chain=srcnat

Похоже, проблема упирается именно в кинетик :) Между двумя кинетиками тоннель вообще поднимается по щелчку пальцев и все компьютеры за обеими подсетями друг друга видят.... 

Вторая интересная проблема - есть две точки, на обеих KN-1010. Одна из них PPoE с белым адресом, вторая - статический белый адрес. Тоннель от третьей точки (от микротика) ко второй поднимается мгновенно, к первой - NO PROPOSAL CHOSEN. Настройки одни и те же (за исключением разных адресов peer в микротике и подсетей в policy, proposals также выбираются из одного и того же профиля). А, и естественно между двумя гигами тоннель поднимается и работает без вопросов. Что же за зверь такой микротик, в котором все настраивается с адским бубном? :(

Posted

Не знаю какова реализация IPsec в M, если там racoon, то это кусок дерьма откровенный.

Насчет 1 и 2 - вам нужно снимать dump на WAN момента установки IKE во втором случае и ESP в первом и self-test, чтобы смотреть что там внутри туннеля реально ходит.

Это лучше делать с техподдержкой, они знают куда смотреть.

  • Thanks 1
Posted
5 hours ago, Le ecureuil said:

Не знаю какова реализация IPsec в M, если там racoon, то это кусок дерьма откровенный.

Насчет 1 и 2 - вам нужно снимать dump на WAN момента установки IKE во втором случае и ESP в первом и self-test, чтобы смотреть что там внутри туннеля реально ходит.

Это лучше делать с техподдержкой, они знают куда смотреть.

Мне проще будет микротик отдать рулить москвичам (которые и попросили ЭТО поставить для связи с их головным микротиком), а клиентов на гигу пускать по PPTP-клиенту Windows. Вопрос, насколько надежно такое подключение (в плане стабильности, а не безопасности)? Не будет ли оно часто разрываться?

P.S. Перечитал немало статей, но так и не нашел способ подружить микротик и кинетик. По поводу второго вопроса - может ли быть так, что MTU в случае с PPoE не дает установить тоннель с микротиком? В логах микротика сообщения, что невозможно установить даже фазу 1.

 

Posted (edited)

Буквально на днях поднял IPSec между M 4011 и Viva. Микротик выступил ike v2 сервером (Изначально на месте M 4011 был Kenetik GIGA III.) - Viva клиентом. Особых сложностей не возникло. За основу взял https://www.anz.ru/2017/03/23/ipsec-between-mikrotik-and-keenetic-ultraii/ . У подключения M - статический белый адрес, у Viva - динамический белый.


Схема была создана следующая. IPsec в туннельном режиме - авторизация по FQDN - адреса туннеля выбраны для них из алиасов созданных с /32 маской. Поверх этой фейковой сети - поднят IPIP тунель - в который тунелируется трафик - так как M - планируется центральным vpn сервером куда будут сходиться разные сети, и не хочется рисовать кучу ipsec политик. 

На стороне тика - очень помогло добавить в логирование *.debug - видны все ошибки от ipsec.

 

 

 

Edited by Alexey Lyahkov
Posted

все таки определенные проблемы в логике у авторов микротика есть. Если нужно создавать несколько пиров у которых динамические адреса и которых надо разделять по FQDN, то надо  создать 1 пира который слушает 0/0, и 2 комплекта policy / identifies - каждая из которых описывает пира. В остальном ... все работает.

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.