IPSec over GRE

Обсуждение ПО и его настройки
Ответить
John-uln
Сообщения: 2
Зарегистрирован: 17 июн 2013, 14:11

Есть два микротика: RouterBoard 1100hx2 и RB951G.
На обоих подняты GRE тоннели с последующим шифрованием IPSec.
Между ними стоит свитч HP ProCurve 1810G-24.
Пакеты между ними ходят нормально, трафик шифруется, всё прекрасно, но через полчаса или часик работы, пакеты перестают ходить. Когда подключаю напрямую, то всё нормально. Пакеты опять ходят. Пробовал на версии 5.25 — так же, на версии 6.1 — так же. Не знаю в чем проблема может быть. Свитч — новый, нигде не использовался.

Конфиг на 1100hx2:

Код: Выделить всё

Настройки GRE

[admin@MikroTik] > interface gre print
Flags: X - disabled, R - running
 0  R name="VPN" mtu=1476 l2mtu=65535 local-address=172.16.16.200 remote-address=172.16.16.100 dscp=0
[admin@MikroTik] >

Настройки IPSec

[admin@MikroTik] > ip ipsec peer print
Flags: X - disabled
 0   address=172.16.16.100/32 passive=no port=500 auth-method=pre-shared-key secret="test" generate-policy=no exchange-mode=main
     send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d
     lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1
[admin@MikroTik] >

[admin@MikroTik] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive
 0    src-address=172.16.16.200/32 src-port=any dst-address=172.16.16.100/32 dst-port=any protocol=all action=encrypt level=require
      ipsec-protocols=esp tunnel=no sa-src-address=172.16.16.200 sa-dst-address=172.16.16.100 proposal=default priority=0
[admin@MikroTik] >

[admin@MikroTik] > ip ipsec proposal print
Flags: X - disabled, * - default
 0  * name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024
[admin@MikroTik] >

Маршруты:

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          172.16.16.1               1
 1 ADC  10.10.10.0/30      10.10.10.2      VPN                       0
 2 ADC  172.16.16.0/24     172.16.16.200   WAN                       0
 3 ADC  192.168.0.0/24     192.168.0.1     LAN                       0
 4 A S  192.168.2.0/24                     10.10.10.1                1
[admin@MikroTik] >



Конфиг на RB951G:

Код: Выделить всё

Настройки GRE

[admin@MikroTik] > interface gre print
Flags: X - disabled, R - running
 0  R name="VPN" mtu=1476 l2mtu=65535 local-address=172.16.16.100 remote-address=172.16.16.200 dscp=0
[admin@MikroTik] >

Настройки IPSec

[admin@MikroTik] > ip ipsec peer print
Flags: X - disabled
 0   address=172.16.16.200/32 passive=no port=500 auth-method=pre-shared-key secret="test" generate-policy=no
     exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5
     enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1
[admin@MikroTik] >

[admin@MikroTik] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive
 0    src-address=172.16.16.100/32 src-port=any dst-address=172.16.16.200/32 dst-port=any protocol=all action=encrypt
      level=require ipsec-protocols=esp tunnel=no sa-src-address=172.16.16.100 sa-dst-address=172.16.16.200
      proposal=default priority=0
[admin@MikroTik] >

[admin@MikroTik] > ip ipsec proposal print
Flags: X - disabled, * - default
 0  * name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=0s pfs-group=modp1024
[admin@MikroTik] >

Маршруты:

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          172.16.16.1               1
 1 ADC  10.10.10.0/30      10.10.10.2      VPN                       0
 2 ADC  172.16.16.0/24     172.16.16.200   WAN                       0
 3 ADC  192.168.0.0/24     192.168.0.1     LAN                       0
 4 A S  192.168.2.0/24                     10.10.10.1                1
[admin@MikroTik] >



xface
Сообщения: 1
Зарегистрирован: 20 дек 2014, 22:56

Тоже поднят GRE over IPSec( 1100ahx (FW 6.20)2 и RB2011UAS-2HnD(FW 6.19)), но в реальных условиях и данной проблемы нет. Зато есть другая проблема: ни один, ни второй не доступен по внешнему ip (только пинг проходит). Никак не могу решить данную проблему.


Ответить