Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

ipsec transport + ipip между keenetik и mikrotik

AleksandrI
 Поделиться

Рекомендуемые сообщения

AleksandrI Новичок

AleksandrI

Опубликовано
Опубликовано (изменено)

День добрый.
Собственно вопроса два.
IPIP/ipsec (ikev1) с кинетика Extra (kn-1713) (ОС 4.04) на микротик (ОС v6 свежая) поднялся, но не могу сменить режим на ikev2, не пойму, что за параметр "ID интерфейса". Просто число ввожу - не взлетает. Что-то надо со стороны микротика (ipsec настроен ручками отдельно от ip-tun) поменять в identities?
Этот же микротик с другим микротиком линкуется по ikev2+ip-tunnel без проблем.

Пробую раздельно настроиться сначала ipsec site-to-site ikev2, через WEB шляпа какая-то. Сходу не взлетает, а если пытаешься менять параметры, интерфейс глючит, не сохраняет изменения.
Есть рабочий пример настройки через консоль?

Изменено пользователем AleksandrI
stefbarinov Старожил

stefbarinov

Опубликовано
Опубликовано (изменено)
15 часов назад, AleksandrI сказал:

что за параметр "ID интерфейса"

Это имеется ввиду?

Скрытый текст

image.png.4b44313c5411e30292ee119aa408dbcb.pngimage.png.0507efac47296c643aeb56c8dcffe610.png

Для IKEv2-клиента ID удаленного интерфейса означает белый адрес (доменное имя) сервера, локальный ID можно оставить пустым.

Изменено пользователем stefbarinov
stefbarinov Старожил

stefbarinov

Опубликовано
Опубликовано
8 минут назад, AleksandrI сказал:

На кинетике появляется поле "ID интерфейса" при включении опции ikev2

А если Вам сделать VPN-сервер IKEv2/IPsec на самом Кинетике?

AleksandrI Новичок

AleksandrI

Опубликовано
  • Автор
Опубликовано (изменено)

В результате двухнедельного копания удалось подружить keenetik и mikrotik по ipip/ipsec(+ikev2).
Надо сказать, что в режиме ikev1 заработало практически сразу, но 8ч поработает и баста, до перезапуска линка вручную со стороны кинетика.
Причиной тому странные дефолтные значения lifetime: фаза1 - 28800 (8ч), фаза2 - 31658 (8ч47м38с).
Из своей скромной практики c ipsec я полагал, что во второй фазе для lifetime используют значение кратно меньшие: 30/60мин
Более менее стабильно канал работает если задать на interface IPIP0 значения:
 

- фаза 1 (24ч) 

ipsec proposal lifetime 86400

- фаза 2 (30мин) 

ipsec transform-set lifetime 1800

На микротике соответственно: 

/ip ipsec profile
add dh-group=modp1024 dpd-interval=30s enc-algorithm=aes-256 name=profile1 nat-traversal=no lifetime=1d

/ip ipsec proposal
add name=proposal1 auth-algorithms=sha1 enc-algorithms=aes-128-cbc pfs-group=none lifetime=30m

Но таки раз в сутки соответственно канал перестраивается, простой в секунд 10-20 можно словить запросто. Более менее допустимо если это случится ночью.

Насчет "ID интерфейса" всё оказалось просто - заданное в веб-интерфейсе число добавляется к 'IPIP' и вместо 'IPIP0' получаем, к примеру, имя интерфейса 'IPIP21'.
В случае включения ikev2 это же имя предъявляется для аутентификации в качестве local-id.
Здесь возникают трудности с ikev2 на стороне микротика, по дебагу ipsec видно, что он отказывается принимать это значение ('IPIP0') в качестве 'user fqdn' с отсылкой к RFC 822 (номер помню не точно).
Снова подходим к кинетику с напильником. Добавляем в interface IPIP0: 

ipsec ikev2
ipsec proposal local-id admin@keenetik.ru
ipsec proposal remote-id admin@mikrotik.ru

Итоговый конфиг на микротике: 

/ip ipsec policy group
add name=group1

/ip ipsec profile
add dh-group=modp1024 dpd-interval=30s enc-algorithm=aes-256 name=profile1 nat-traversal=no lifetime=1d

/ip ipsec peer
add address=188.188.188.188/32 exchange-mode=ike2 local-address=210.210.210.210 name=peer1 profile=profile1

/ip ipsec proposal
add name=proposal1 auth-algorithms=sha1 enc-algorithms=aes-128-cbc pfs-group=none lifetime=30m

/ip ipsec identity
add my-id=user-fqdn:admin@mikrotik.ru peer=peer1 policy-template-group=group1 remote-id=user-fqdn:admin@keenetik.ru secret=XXXXXX

/ip ipsec policy
add dst-address=188.188.188.188/32 peer=peer1 proposal=proposal1 protocol=ipencap src-address=210.210.210.210/32

Ну и поверх добавляем ip-tunnel 

/interface ipip
add allow-fast-path=no local-address=210.210.210.210 name=ipip-keenetik remote-address=188.188.188.188

Серый адрес на интерфейс в паре с кинетиком, маршруты и NAT как обычно.
Пару суток всё работает уже без обрывов.

Изменено пользователем AleksandrI
  • Лайк 3
AleksandrI Новичок

AleksandrI

Опубликовано
  • Автор
Опубликовано

Забыл упомянуть еще одну особенность.

Менял в экспериментальных целях proposal lifetime на какое-то другое значение, обнаружилось (по показаниям микротика), что неожиданным образом изменилось и transform-set lifetime с установленного ранее 1800 на какое-то странное значение 1938.
Так что оба параметра для убедительности лучше задавать каждый раз вместе поочередно:

ipsec proposal lifetime {lifetime1}

ipsec transform-set lifetime {lifetime2}

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю