IPSec между Mikrotik и KN-1010

[Mr. Grey]

Добрый день :) Есть микротик серии CRS и Giga KN-1010. На обоих белые внешние IP-адреса. Создал IPSec-тоннель, сконфигурировал proposals, peer на микротике, policy между подсетями. На гиге как обычно по стандартной инструкции KB, тоннель отлично поднялся. С KN-1010 пингуется второй конец (микротик), со стороны микротика подсеть кинетика не пингуется... Подсети 192.168.131.0/24 на кинетике, 192.168.133.0/24 на микротике. Со стороны микротика создано стандартное правило firewall, отключающее NAT для пакетов на интерфейс кинетика, поднято наверх в разделе NAT:

/ip firewall nat add src-address=192.168.133.0/23 dst-address=192.168.131.0/24 action=accept chain=srcnat

Похоже, проблема упирается именно в кинетик :) Между двумя кинетиками тоннель вообще поднимается по щелчку пальцев и все компьютеры за обеими подсетями друг друга видят.... 

Вторая интересная проблема - есть две точки, на обеих KN-1010. Одна из них PPoE с белым адресом, вторая - статический белый адрес. Тоннель от третьей точки (от микротика) ко второй поднимается мгновенно, к первой - NO PROPOSAL CHOSEN. Настройки одни и те же (за исключением разных адресов peer в микротике и подсетей в policy, proposals также выбираются из одного и того же профиля). А, и естественно между двумя гигами тоннель поднимается и работает без вопросов. Что же за зверь такой микротик, в котором все настраивается с адским бубном? :(

[Le ecureuil]

Не знаю какова реализация IPsec в M, если там racoon, то это кусок дерьма откровенный.

Насчет 1 и 2 - вам нужно снимать dump на WAN момента установки IKE во втором случае и ESP в первом и self-test, чтобы смотреть что там внутри туннеля реально ходит.

Это лучше делать с техподдержкой, они знают куда смотреть.

[Mr. Grey]

5 hours ago, Le ecureuil said:

Не знаю какова реализация IPsec в M, если там racoon, то это кусок дерьма откровенный.

Насчет 1 и 2 - вам нужно снимать dump на WAN момента установки IKE во втором случае и ESP в первом и self-test, чтобы смотреть что там внутри туннеля реально ходит.

Это лучше делать с техподдержкой, они знают куда смотреть.

Мне проще будет микротик отдать рулить москвичам (которые и попросили ЭТО поставить для связи с их головным микротиком), а клиентов на гигу пускать по PPTP-клиенту Windows. Вопрос, насколько надежно такое подключение (в плане стабильности, а не безопасности)? Не будет ли оно часто разрываться?

P.S. Перечитал немало статей, но так и не нашел способ подружить микротик и кинетик. По поводу второго вопроса - может ли быть так, что MTU в случае с PPoE не дает установить тоннель с микротиком? В логах микротика сообщения, что невозможно установить даже фазу 1.

 

[Le ecureuil]

Зависит все от вашего желания, не могу вам что-то рекомендовать.

[Alexey Lyahkov]

Буквально на днях поднял IPSec между M 4011 и Viva. Микротик выступил ike v2 сервером (Изначально на месте M 4011 был Kenetik GIGA III.) - Viva клиентом. Особых сложностей не возникло. За основу взял https://www.anz.ru/2017/03/23/ipsec-between-mikrotik-and-keenetic-ultraii/ . У подключения M - статический белый адрес, у Viva - динамический белый.

Схема была создана следующая. IPsec в туннельном режиме - авторизация по FQDN - адреса туннеля выбраны для них из алиасов созданных с /32 маской. Поверх этой фейковой сети - поднят IPIP тунель - в который тунелируется трафик - так как M - планируется центральным vpn сервером куда будут сходиться разные сети, и не хочется рисовать кучу ipsec политик. 

На стороне тика - очень помогло добавить в логирование *.debug - видны все ошибки от ipsec.

 

 

 

Изменено 29 ноября, 2020 пользователем Alexey Lyahkov

[Alexey Lyahkov]

все таки определенные проблемы в логике у авторов микротика есть. Если нужно создавать несколько пиров у которых динамические адреса и которых надо разделять по FQDN, то надо  создать 1 пира который слушает 0/0, и 2 комплекта policy / identifies - каждая из которых описывает пира. В остальном ... все работает.

 

[Le ecureuil]

Думаю это протечка абстракции от racoon, у него конфиг, кхм, на любителя.