Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
8 часов назад, Mixin сказал:

Пытаюсь настроить IPsec между Mikrotik hEX S и Keenetic Ultra II.

А как настраивали-то? Чистый туннель IPsec, или что-то over IPsec?

Опубликовано
12 часа назад, vadimbn сказал:

А как настраивали-то? Чистый туннель IPsec, или что-то over IPsec?

Чистый IPsec, вот здесь.

image.png.7d1851525a673f3b290909938faae05a.png

Опубликовано (изменено)
10 часов назад, Mixin сказал:

Чистый IPsec

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... И наверное вам будет таки проще настроить ipip over ipsec.

Изменено пользователем vadimbn
Опубликовано
10 часов назад, vadimbn сказал:

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... 

Спасибо, попробую. А кинетику такое не надо? 

10 часов назад, vadimbn сказал:

И наверное вам будет таки проще настроить ipip over ipsec.

Планирую eoip создать в итоге, но пока не понимаю, как его создать со своими настройками безопасности и через уже созданный ipsec. 

Опубликовано (изменено)
1 час назад, Mixin сказал:

А кинетику такое не надо?

Если нужна сеть за кинетиком, и если там при создании туннеля есть трансляция адресов - да. Для чего - у вас в политиках указаны конкретные сети, которые должны быть доступны с обеих сторон. А маскарадинг подменяет, маскирует внутреннюю сеть IP-адресом роутера. Поэтому сеть будет недоступна.

 

1 час назад, Mixin сказал:

Планирую eoip создать в итоге, но пока не понимаю, как его создать со своими настройками безопасности и через уже созданный ipsec.

IPsec-соединение там устанавливается автоматически. Например -

На стороне микротика:

/interface ipip add allow-fast-path=no comment="IPIP tunnel" ipsec-secret=secret_key keepalive=10s,3 local-address=1_Local_White_IP name=Name_of_interface remote-address=2_Remote_White_IP
/ip address add address=172.16.1.2/30 comment="Address for Name_of_interface interface" interface=Name_of_interface network=172.16.1.0

На стороне кинетика как-то так:

(config)> interface IPIP0
(config-if)> tunnel destination 1_Remote_White_IP
(config-if)> ip address 172.16.1.1 255.255.255.252
(config-if)> ipsec preshared-key secret_key
(config-if)> up
(config-if)> exit
(config)> no isolate-private

secret_key должен быть и там, и там одинаковый. После этого у вас должен создаться ipip-туннель over ipsec. Появятся два интерфейса. На стороне mikrotik - Name_of_interface (может быть произвольным), на стороне Keenetic - IPIP0.

Дальше можно прописать маршруты на обоих устройствах в удаленные сети через эти интерфейсы.

Изменено пользователем vadimbn
Опубликовано (изменено)
1 час назад, vadimbn сказал:

IPsec-соединение там устанавливается автоматически. Например -

Проблем с созданием тоннелей и соединений нет. Проблема в том, что к приведенным примерам прилагаются свои настройки безопасности, которые еще и нельзя поменять. Ну, или я не понимаю как.

И, видимо, мне нужна помощь в создании правил для nat и файерволла у кинетика. Вот как прописать подобное?

ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward
ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward
ip firewall nat add src-address=192.168.4.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat
 

Изменено пользователем Mixin
Опубликовано
1 час назад, Mixin сказал:

прилагаются свои настройки безопасности

Что вы имеете в виду? То, что в Proposals?

Опубликовано
30 минут назад, vadimbn сказал:

Что вы имеете в виду? То, что в Proposals?

У кинетика то, что скрывается под командой (config-if)> security-level private

У микротика - да.

Опубликовано

Натолкнулся на такую багу.

При создании IPsec-подключения, если сразу выбрать чекбокс Ждать подключения удаленного пира, то невозможно выбрать Идентификатор удаленного шлюза ничего кроме ANY, но если в начали выбрать чекбокс  Автоподключение и затем опять чекбокс Ждать подключения удаленного пира, а чекбокс  Автоподключение снять, то в выборе Идентификатор удаленного шлюза становятся доступны все варианты.

2018-06-05_10-35-46.png

2018-06-05_10-36-38.png

2018-06-05_10-37-33.png

Опубликовано
2 часа назад, feoser сказал:

Натолкнулся на такую багу.

При создании IPsec-подключения, если сразу выбрать чекбокс Ждать подключения удаленного пира, то невозможно выбрать Идентификатор удаленного шлюза ничего кроме ANY, но если в начали выбрать чекбокс  Автоподключение и затем опять чекбокс Ждать подключения удаленного пира, а чекбокс  Автоподключение снять, то в выборе Идентификатор удаленного шлюза становятся доступны все варианты.

2018-06-05_10-35-46.png

2018-06-05_10-36-38.png

2018-06-05_10-37-33.png

Это не бага, это "фича" устаревшего IKEv1.

В нем вы должны использовать ключ еще до того, как выясните идентификатор удаленной стороны. Потому нужно ставить any.

Или используйте IKEv2.

 

А насчет того, что не возвращается в заблокированный "any": @eralde, нужно бы подправить :)

Опубликовано
6 часов назад, Le ecureuil сказал:

Это не бага, это "фича" устаревшего IKEv1.

В нем вы должны использовать ключ еще до того, как выясните идентификатор удаленной стороны. Потому нужно ставить any.

Или используйте IKEv2.

Если Вы посмотрите скриншоты, то выбрано как раз IKEv2, про IKEv1 и any я в курсе.

Опубликовано (изменено)

09[IKE] CHILD_SA Temp{2} established with SPIs and TS 192.168.4.0/24[ipv6-crypt] === 192.168.1.0/24[ipv6-crypt]

Подскажите, а почему тут приписано ipv6? Может поэтому и не работает ничего у меня. Серая надпись connected что означает?

image.png.fa41f8566e31b583f648b5978cec3658.png

 

 

 

Изменено пользователем Mixin
Опубликовано
12 часа назад, Mixin сказал:

09[IKE] CHILD_SA Temp{2} established with SPIs and TS 192.168.4.0/24[ipv6-crypt] === 192.168.1.0/24[ipv6-crypt]

Подскажите, а почему тут приписано ipv6? Может поэтому и не работает ничего у меня. Серая надпись connected что означает?

image.png.fa41f8566e31b583f648b5978cec3658.png

 

 

 

Настраивали через Web? Скиньте self-test в момент, когда "Connected".

Опубликовано
13 часа назад, Le ecureuil сказал:

астраивали через Web? Скиньте self-test в момент, когда "Connected".

Увидел поздно, сил уже нет. 4 разных устройства, всё настроилось, всё друг друга увидели. Серое оно, да и бог с ним. 

  • 4 недели спустя...
Опубликовано

Привет!

Имеется новая Гига за динамическим ip (настроен no-ip) и Омни II за серым ip, на Омни живёт DLNA-сервер.

Сети успешно объединены с помощью IPSecVpn, хосты взаимно пингуются.

Вопрос: могут ли девайсы из сети Гиги получить доступ к DLNA Омни?

По Smb диск подключённый к Омни виден (адрес \\192.168.&&.@@ набирал от руки), но МуМедиа девайсы Smb не знают :-(

Опубликовано (изменено)
2 минуты назад, Chervonenko_CA сказал:

Привет!

Имеется новая Гига за динамическим ip (настроен no-ip) и Омни II за серым ip, на Омни живёт DLNA-сервер.

Сети успешно объединены с помощью IPSecVpn, хосты взаимно пингуются.

Вопрос: могут ли девайсы из сети Гиги получить доступ к DLNA Омни?

По Smb диск подключённый к Омни виден (адрес \\192.168.&&.@@ набирал от руки), но МуМедиа девайсы Smb не знают :-(

А при чем тут IPSec? :) 

Создайте отдельную тему.

Изменено пользователем r13
Опубликовано
11 минуту назад, Chervonenko_CA сказал:

Ну, предполагаю, что поверх IPSec надо поднять что-то вроде ip-ip или EoIp..

Не?

Для DLNA только EoIP или OpenVPN в TAP.

А вообще это глупость. DLNA это чисто домашний протокол "последней мили". Он разрабатывался с расчетом на локальные широковещательные сети  с низкими задержками, высокими скоростями и отличной надежностью передачи - и из-за этого он не может быть качественно передан в произвольное место. Потому и использовать его в таком виде не рекомендуется - будет много торомозов, потерь и рассыпаний.

Опубликовано
5 часов назад, Le ecureuil сказал:

DLNA это чисто домашний протокол "последней мили". Он разрабатывался с расчетом на локальные широковещательные сети  с низкими задержками, высокими ско

Увы.. Что-то такое и предполагал. Разве что из спортивного интереса с EoIP поиграть

Спасибо

  • 2 недели спустя...
Опубликовано (изменено)

При попытке создать второй туннель в сторону IP на который уже один туннель поднят вылазит ошибка (см скриншот), может кто подскажет, как это можно обойти.

З.Ы. Сейчас попробовал вместо IP ввести доменнное имя, соответствующее этому IP, туннель прекрасно поднялся и работает, но ещё один тунель не дает создать уже не по IP не по доменному имени, т.е. фактически всё работает, тогда не понятен программный запрет - на один внешний ip - один туннель.

4 (2).png

Изменено пользователем feoser
Опубликовано
18 часов назад, feoser сказал:

При попытке создать второй туннель в сторону IP на который уже один туннель поднят вылазит ошибка (см скриншот), может кто подскажет, как это можно обойти.

З.Ы. Сейчас попробовал вместо IP ввести доменнное имя, соответствующее этому IP, туннель прекрасно поднялся и работает, но ещё один тунель не дает создать уже не по IP не по доменному имени, т.е. фактически всё работает, тогда не понятен программный запрет - на один внешний ip - один туннель.

4 (2).png

Выберете IKEv2.

Опубликовано (изменено)
30 минут назад, Le ecureuil сказал:

Выберете IKEv2.

Туннели устанавливаются в сторону kerio, а он к сожалению может поддерживать только IKEv1, несколько туннелей надо, т.к.  за kerio находятся несколько подсетей которые невозможно объединить одной маской, а на кинетике в настройках туннеля невозможно указать несколько удаленных сетей одновременно, чтобы он трафик маршрутизировал в нужном направлении, но я поборол эту ситуацию, создал несколько доменов третьего уровня и т.к. они имеют один и тот же IP то кинетик на это не ругается и по крайней мере три туннеля с него, а больше мне не нужно, прекрасно работают в сторону одного IP.

Просто вопрос, а нельзя ли снять это ограничение для IKEv1, просто непонятно, чем это вызвано.

PS c IKEv2 тоже не позволяет, возможно потому, что первый на IKEv1, провести эксперимент смогу только в понедельник, т.к. при смене первого туннеля на IKEv2 я гарантированно потеряю связь,  а этот туннель с удалённой точки.

 

5 (2).png

Изменено пользователем feoser
добавил скриншот
Опубликовано (изменено)

Взял для тестов голую ультру, После создания первого туннеля с IKEv2, при попытке создать второй туннель IKEv2 с одним и тем же IP назначения - результат прежний, не дает создать с одним и тем же IP, далее создал два туннеля IKEv1 но с разными IP, затем сохранил конфиг, в конфиге поменял IP чтобы они совпадали, загрузил в роутер с перезагрузкой, после ребута оба туннеля нормально поднялись.

У меня вопрос:

если в конфиге в блоке

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

дописать ещё одну строку, чтобы получить следующий вид:

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

    permit ip 192.168.51.0 255.255.255.0 192.168.14.0 255.255.255.0

это сработает? роутер не проглючит? и отработают ли эти два маршрута для одного туннеля?

-----------------------

Отвечу сам себе :) Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется.

После замены на рабочем роутере в конфиге трех доменных имен на один и тот же IP все туннели прекрасно поднялись и маршрутизируются.

 

Ещё вопрос, а нельзя ли для данного туннеля сделать NAT как и для других?

Это скриншот сделан при тестах.

2018-07-15_14-17-55.png

Изменено пользователем feoser
Добавил результат испытаний.
Опубликовано
В 15.07.2018 в 16:07, feoser сказал:

Взял для тестов голую ультру, После создания первого туннеля с IKEv2, при попытке создать второй туннель IKEv2 с одним и тем же IP назначения - результат прежний, не дает создать с одним и тем же IP, далее создал два туннеля IKEv1 но с разными IP, затем сохранил конфиг, в конфиге поменял IP чтобы они совпадали, загрузил в роутер с перезагрузкой, после ребута оба туннеля нормально поднялись.

У меня вопрос:

если в конфиге в блоке

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

дописать ещё одну строку, чтобы получить следующий вид:

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

    permit ip 192.168.51.0 255.255.255.0 192.168.14.0 255.255.255.0

это сработает? роутер не проглючит? и отработают ли эти два маршрута для одного туннеля?

-----------------------

Отвечу сам себе :) Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется.

После замены на рабочем роутере в конфиге трех доменных имен на один и тот же IP все туннели прекрасно поднялись и маршрутизируются.

 

Ещё вопрос, а нельзя ли для данного туннеля сделать NAT как и для других?

Это скриншот сделан при тестах.

2018-07-15_14-17-55.png

Все верно, работает только первый.

Если нужен NAT, попробуйте использовать GRE или IPIP over IPsec.

Опубликовано
В 16.07.2018 в 19:57, alekssmak сказал:

Подскажите, можно ли включать/выключать туннель по расписанию?

Пока нельзя (хотя, если как интерфейс over IPsec сделаете, то можно). А нужно?

Опубликовано (изменено)
12 часа назад, Le ecureuil сказал:

Пока нельзя (хотя, если как интерфейс over IPsec сделаете, то можно). А нужно? 

Хотелось бы.

Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными.

Обрыва нет, но связь полностью отсутствует.

Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Помогает выключение/включение туннеля IPSEC.

У меня это еще с 2017 года тянется: отсюда

Изменено пользователем alekssmak
Опубликовано
3 часа назад, alekssmak сказал:

Хотелось бы.

Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными.

 Обрыва нет, но связь полностью отсутствует.

 Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Помогает выключение/включение туннеля IPSEC.

У меня это еще с 2017 года тянется: отсюда

А можете в "замерзшем" состоянии self-test прикрепить?

Опубликовано
4 часа назад, alekssmak сказал:

Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Просто для сведения, у меня следующая конфигурация:

Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,

с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.

 

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.