Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)
  В 03.06.2018 в 19:49, Mixin сказал:

Чистый IPsec

Показать  

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... И наверное вам будет таки проще настроить ipip over ipsec.

Изменено пользователем vadimbn
Опубликовано
  В 04.06.2018 в 06:04, vadimbn сказал:

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... 

Показать  

Спасибо, попробую. А кинетику такое не надо? 

  В 04.06.2018 в 06:04, vadimbn сказал:

И наверное вам будет таки проще настроить ipip over ipsec.

Показать  

Планирую eoip создать в итоге, но пока не понимаю, как его создать со своими настройками безопасности и через уже созданный ipsec. 

Опубликовано (изменено)
  В 04.06.2018 в 16:50, Mixin сказал:

А кинетику такое не надо?

Показать  

Если нужна сеть за кинетиком, и если там при создании туннеля есть трансляция адресов - да. Для чего - у вас в политиках указаны конкретные сети, которые должны быть доступны с обеих сторон. А маскарадинг подменяет, маскирует внутреннюю сеть IP-адресом роутера. Поэтому сеть будет недоступна.

 

  В 04.06.2018 в 16:50, Mixin сказал:

Планирую eoip создать в итоге, но пока не понимаю, как его создать со своими настройками безопасности и через уже созданный ipsec.

Показать  

IPsec-соединение там устанавливается автоматически. Например -

На стороне микротика:

/interface ipip add allow-fast-path=no comment="IPIP tunnel" ipsec-secret=secret_key keepalive=10s,3 local-address=1_Local_White_IP name=Name_of_interface remote-address=2_Remote_White_IP
/ip address add address=172.16.1.2/30 comment="Address for Name_of_interface interface" interface=Name_of_interface network=172.16.1.0

На стороне кинетика как-то так:

(config)> interface IPIP0
(config-if)> tunnel destination 1_Remote_White_IP
(config-if)> ip address 172.16.1.1 255.255.255.252
(config-if)> ipsec preshared-key secret_key
(config-if)> up
(config-if)> exit
(config)> no isolate-private

secret_key должен быть и там, и там одинаковый. После этого у вас должен создаться ipip-туннель over ipsec. Появятся два интерфейса. На стороне mikrotik - Name_of_interface (может быть произвольным), на стороне Keenetic - IPIP0.

Дальше можно прописать маршруты на обоих устройствах в удаленные сети через эти интерфейсы.

Изменено пользователем vadimbn
Опубликовано (изменено)
  В 04.06.2018 в 18:22, vadimbn сказал:

IPsec-соединение там устанавливается автоматически. Например -

Показать  

Проблем с созданием тоннелей и соединений нет. Проблема в том, что к приведенным примерам прилагаются свои настройки безопасности, которые еще и нельзя поменять. Ну, или я не понимаю как.

И, видимо, мне нужна помощь в создании правил для nat и файерволла у кинетика. Вот как прописать подобное?

ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward
ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward
ip firewall nat add src-address=192.168.4.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat
 

Изменено пользователем Mixin
Опубликовано

Натолкнулся на такую багу.

При создании IPsec-подключения, если сразу выбрать чекбокс Ждать подключения удаленного пира, то невозможно выбрать Идентификатор удаленного шлюза ничего кроме ANY, но если в начали выбрать чекбокс  Автоподключение и затем опять чекбокс Ждать подключения удаленного пира, а чекбокс  Автоподключение снять, то в выборе Идентификатор удаленного шлюза становятся доступны все варианты.

2018-06-05_10-35-46.png

2018-06-05_10-36-38.png

2018-06-05_10-37-33.png

Опубликовано
  В 05.06.2018 в 07:50, feoser сказал:

Натолкнулся на такую багу.

При создании IPsec-подключения, если сразу выбрать чекбокс Ждать подключения удаленного пира, то невозможно выбрать Идентификатор удаленного шлюза ничего кроме ANY, но если в начали выбрать чекбокс  Автоподключение и затем опять чекбокс Ждать подключения удаленного пира, а чекбокс  Автоподключение снять, то в выборе Идентификатор удаленного шлюза становятся доступны все варианты.

2018-06-05_10-35-46.png

2018-06-05_10-36-38.png

2018-06-05_10-37-33.png

Показать  

Это не бага, это "фича" устаревшего IKEv1.

В нем вы должны использовать ключ еще до того, как выясните идентификатор удаленной стороны. Потому нужно ставить any.

Или используйте IKEv2.

 

А насчет того, что не возвращается в заблокированный "any": @eralde, нужно бы подправить :)

Опубликовано
  В 05.06.2018 в 09:53, Le ecureuil сказал:

Это не бага, это "фича" устаревшего IKEv1.

В нем вы должны использовать ключ еще до того, как выясните идентификатор удаленной стороны. Потому нужно ставить any.

Или используйте IKEv2.

Показать  

Если Вы посмотрите скриншоты, то выбрано как раз IKEv2, про IKEv1 и any я в курсе.

Опубликовано (изменено)

09[IKE] CHILD_SA Temp{2} established with SPIs and TS 192.168.4.0/24[ipv6-crypt] === 192.168.1.0/24[ipv6-crypt]

Подскажите, а почему тут приписано ipv6? Может поэтому и не работает ничего у меня. Серая надпись connected что означает?

image.png.fa41f8566e31b583f648b5978cec3658.png

 

 

 

Изменено пользователем Mixin
Опубликовано
  В 06.06.2018 в 20:18, Mixin сказал:

09[IKE] CHILD_SA Temp{2} established with SPIs and TS 192.168.4.0/24[ipv6-crypt] === 192.168.1.0/24[ipv6-crypt]

Подскажите, а почему тут приписано ipv6? Может поэтому и не работает ничего у меня. Серая надпись connected что означает?

image.png.fa41f8566e31b583f648b5978cec3658.png

 

 

 

Показать  

Настраивали через Web? Скиньте self-test в момент, когда "Connected".

Опубликовано
  В 07.06.2018 в 08:39, Le ecureuil сказал:

астраивали через Web? Скиньте self-test в момент, когда "Connected".

Показать  

Увидел поздно, сил уже нет. 4 разных устройства, всё настроилось, всё друг друга увидели. Серое оно, да и бог с ним. 

  • 4 недели спустя...
Опубликовано

Привет!

Имеется новая Гига за динамическим ip (настроен no-ip) и Омни II за серым ip, на Омни живёт DLNA-сервер.

Сети успешно объединены с помощью IPSecVpn, хосты взаимно пингуются.

Вопрос: могут ли девайсы из сети Гиги получить доступ к DLNA Омни?

По Smb диск подключённый к Омни виден (адрес \\192.168.&&.@@ набирал от руки), но МуМедиа девайсы Smb не знают :-(

Опубликовано (изменено)
  В 03.07.2018 в 12:56, Chervonenko_CA сказал:

Привет!

Имеется новая Гига за динамическим ip (настроен no-ip) и Омни II за серым ip, на Омни живёт DLNA-сервер.

Сети успешно объединены с помощью IPSecVpn, хосты взаимно пингуются.

Вопрос: могут ли девайсы из сети Гиги получить доступ к DLNA Омни?

По Smb диск подключённый к Омни виден (адрес \\192.168.&&.@@ набирал от руки), но МуМедиа девайсы Smb не знают :-(

Показать  

А при чем тут IPSec? :) 

Создайте отдельную тему.

Изменено пользователем r13
Опубликовано
  В 03.07.2018 в 13:29, Chervonenko_CA сказал:

Ну, предполагаю, что поверх IPSec надо поднять что-то вроде ip-ip или EoIp..

Не?

Показать  

Для DLNA только EoIP или OpenVPN в TAP.

А вообще это глупость. DLNA это чисто домашний протокол "последней мили". Он разрабатывался с расчетом на локальные широковещательные сети  с низкими задержками, высокими скоростями и отличной надежностью передачи - и из-за этого он не может быть качественно передан в произвольное место. Потому и использовать его в таком виде не рекомендуется - будет много торомозов, потерь и рассыпаний.

Опубликовано
  В 03.07.2018 в 13:43, Le ecureuil сказал:

DLNA это чисто домашний протокол "последней мили". Он разрабатывался с расчетом на локальные широковещательные сети  с низкими задержками, высокими ско

Показать  

Увы.. Что-то такое и предполагал. Разве что из спортивного интереса с EoIP поиграть

Спасибо

  • 2 недели спустя...
Опубликовано (изменено)

При попытке создать второй туннель в сторону IP на который уже один туннель поднят вылазит ошибка (см скриншот), может кто подскажет, как это можно обойти.

З.Ы. Сейчас попробовал вместо IP ввести доменнное имя, соответствующее этому IP, туннель прекрасно поднялся и работает, но ещё один тунель не дает создать уже не по IP не по доменному имени, т.е. фактически всё работает, тогда не понятен программный запрет - на один внешний ip - один туннель.

4 (2).png

Изменено пользователем feoser
Опубликовано
  В 13.07.2018 в 10:58, feoser сказал:

При попытке создать второй туннель в сторону IP на который уже один туннель поднят вылазит ошибка (см скриншот), может кто подскажет, как это можно обойти.

З.Ы. Сейчас попробовал вместо IP ввести доменнное имя, соответствующее этому IP, туннель прекрасно поднялся и работает, но ещё один тунель не дает создать уже не по IP не по доменному имени, т.е. фактически всё работает, тогда не понятен программный запрет - на один внешний ip - один туннель.

4 (2).png

Показать  

Выберете IKEv2.

Опубликовано (изменено)
  В 14.07.2018 в 05:57, Le ecureuil сказал:

Выберете IKEv2.

Показать  

Туннели устанавливаются в сторону kerio, а он к сожалению может поддерживать только IKEv1, несколько туннелей надо, т.к.  за kerio находятся несколько подсетей которые невозможно объединить одной маской, а на кинетике в настройках туннеля невозможно указать несколько удаленных сетей одновременно, чтобы он трафик маршрутизировал в нужном направлении, но я поборол эту ситуацию, создал несколько доменов третьего уровня и т.к. они имеют один и тот же IP то кинетик на это не ругается и по крайней мере три туннеля с него, а больше мне не нужно, прекрасно работают в сторону одного IP.

Просто вопрос, а нельзя ли снять это ограничение для IKEv1, просто непонятно, чем это вызвано.

PS c IKEv2 тоже не позволяет, возможно потому, что первый на IKEv1, провести эксперимент смогу только в понедельник, т.к. при смене первого туннеля на IKEv2 я гарантированно потеряю связь,  а этот туннель с удалённой точки.

 

5 (2).png

Изменено пользователем feoser
добавил скриншот
Опубликовано (изменено)

Взял для тестов голую ультру, После создания первого туннеля с IKEv2, при попытке создать второй туннель IKEv2 с одним и тем же IP назначения - результат прежний, не дает создать с одним и тем же IP, далее создал два туннеля IKEv1 но с разными IP, затем сохранил конфиг, в конфиге поменял IP чтобы они совпадали, загрузил в роутер с перезагрузкой, после ребута оба туннеля нормально поднялись.

У меня вопрос:

если в конфиге в блоке

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

дописать ещё одну строку, чтобы получить следующий вид:

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

    permit ip 192.168.51.0 255.255.255.0 192.168.14.0 255.255.255.0

это сработает? роутер не проглючит? и отработают ли эти два маршрута для одного туннеля?

-----------------------

Отвечу сам себе :) Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется.

После замены на рабочем роутере в конфиге трех доменных имен на один и тот же IP все туннели прекрасно поднялись и маршрутизируются.

 

Ещё вопрос, а нельзя ли для данного туннеля сделать NAT как и для других?

Это скриншот сделан при тестах.

2018-07-15_14-17-55.png

Изменено пользователем feoser
Добавил результат испытаний.
Опубликовано
  В 15.07.2018 в 13:07, feoser сказал:

Взял для тестов голую ультру, После создания первого туннеля с IKEv2, при попытке создать второй туннель IKEv2 с одним и тем же IP назначения - результат прежний, не дает создать с одним и тем же IP, далее создал два туннеля IKEv1 но с разными IP, затем сохранил конфиг, в конфиге поменял IP чтобы они совпадали, загрузил в роутер с перезагрузкой, после ребута оба туннеля нормально поднялись.

У меня вопрос:

если в конфиге в блоке

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

дописать ещё одну строку, чтобы получить следующий вид:

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

    permit ip 192.168.51.0 255.255.255.0 192.168.14.0 255.255.255.0

это сработает? роутер не проглючит? и отработают ли эти два маршрута для одного туннеля?

-----------------------

Отвечу сам себе :) Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется.

После замены на рабочем роутере в конфиге трех доменных имен на один и тот же IP все туннели прекрасно поднялись и маршрутизируются.

 

Ещё вопрос, а нельзя ли для данного туннеля сделать NAT как и для других?

Это скриншот сделан при тестах.

2018-07-15_14-17-55.png

Показать  

Все верно, работает только первый.

Если нужен NAT, попробуйте использовать GRE или IPIP over IPsec.

Опубликовано
  В 16.07.2018 в 16:57, alekssmak сказал:

Подскажите, можно ли включать/выключать туннель по расписанию?

Показать  

Пока нельзя (хотя, если как интерфейс over IPsec сделаете, то можно). А нужно?

Опубликовано (изменено)
  В 23.07.2018 в 19:35, Le ecureuil сказал:

Пока нельзя (хотя, если как интерфейс over IPsec сделаете, то можно). А нужно? 

Показать  

Хотелось бы.

Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными.

Обрыва нет, но связь полностью отсутствует.

Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Помогает выключение/включение туннеля IPSEC.

У меня это еще с 2017 года тянется: отсюда

Изменено пользователем alekssmak
Опубликовано
  В 24.07.2018 в 06:33, alekssmak сказал:

Хотелось бы.

Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными.

 Обрыва нет, но связь полностью отсутствует.

 Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Помогает выключение/включение туннеля IPSEC.

У меня это еще с 2017 года тянется: отсюда

Показать  

А можете в "замерзшем" состоянии self-test прикрепить?

Опубликовано
  В 24.07.2018 в 06:33, alekssmak сказал:

Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Показать  

Просто для сведения, у меня следующая конфигурация:

Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,

с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.

 

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.