IPsec между двумя "Микротиками" - не работает

Обсуждение оборудования и его настройки
Ответить
vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

Добрый вечер!
Пытаюсь настроить статихеский site-to-site туннель между двумя микротиками. На одной стороне LAN 10.161.0.0/21 (gw 10.161.0.1), на другой LAN 10.161.8.0/21 (gw 10.161.10.1). Оба "Микротика" ходят в Инет через PPPoE и оба WAN'овских интерфейса имеют DDNS. Пытаюсь делать "по примеру":

(1) первый сайт, основной

Код: Выделить всё

/ip ipsec peer add \
address=DDNS2 nat-traversal=yes auth-method=pre-shared-key secret="12345"
/ip ipsec policy add \
src-address=10.161.0.0/21 src-port=any dst-address=10.161.8.0/21 dst-port=any \
sa-src-address=DDNS1 sa-dst-address=DDNS2 \
tunnel=yes action=encrypt proposal=default
/ip firewall nat add \
chain=srcnat action=accept place-before=0
src-address=10.161.0.0/21 dst-address=10.161.8.0/21

/ip route add disabled=no distance=1 scope=30 target-scope=10 \
dst-address=10.161.8.0/21 gateway=10.161.0.1

(2) второй сайт, доп.офис

Код: Выделить всё

/ip ipsec peer add comment="IPsec Peer to Safianovo" \
address=DDNS1 nat-traversal=yes auth-method=pre-shared-key secret="12345"
/ip ipsec policy add \
src-address=10.161.8.0/21 src-port=any dst-address=10.161.0.0/21 dst-port=any \
sa-src-address=DDNS2 sa-dst-address=DDNS1 \
tunnel=yes action=encript proposal=default
/ip firewall nat add \
chain=srcnat action=accept  place-before=0 \
src-address=10.161.8.0/21 dst-address=10.161.0.0/21
/ip route add disabled=no distance=1 scope=30 target-scope=10 \
dst-address=10.161.0.0/21 gateway=10.161.10.1

Очевидно, что есть скрипты на обеих маршрутизатоеав, обновляющих DDNS и ipsec peer / ipsec policy на предмет корректировки адресов. В общем, вопрос в том, что "включаешь - не работает". IPsec не поднимается. Где делаю не так?

Заранее спасибо,


Vladislav_A
Сообщения: 71
Зарегистрирован: 27 ноя 2012, 17:30

1 включите логирование IPSec и смотрите, что приходит.
2 Порты и протоколы в файрволе открыли?
 
/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall filter add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no


vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

Vladislav_A писал(а):1 включите логирование IPSec и смотрите, что приходит.
2 Порты и протоколы в файрволе открыли?
 
/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall filter add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no


Порты, естественно, открыты. Логгирование включил (добавил ipsec в темы), сегодня погляжу.


vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

Vladislav_A писал(а):1 включите логирование IPSec и смотрите, что приходит.
2 Порты и протоколы в файрволе открыли?
 
/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall filter add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no


Вот что в логе появляется. Несколько раз пробует послать пакеты, потом, в конце выходит время. Такое на обоих конца. Открыты порты 500, 4500, 1701.

 Лог

Код: Выделить всё

17:30:00 ipsec,debug,packet resend phase1 packet c1a485944e7f29bf:0000000000000000 
17:30:10 ipsec,debug,packet 348 bytes from 5.139.128.58[500] to 77.66.234.235[500]
17:30:10 ipsec,debug,packet sockname 5.139.128.58[500]
17:30:10 ipsec,debug,packet send packet from 5.139.128.58[500]
17:30:10 ipsec,debug,packet send packet to 77.66.234.235[500]
17:30:10 ipsec,debug,packet src4 5.139.128.58[500]
17:30:10 ipsec,debug,packet dst4 77.66.234.235[500]
17:30:10 ipsec,debug,packet 1 times of 348 bytes message will be sent to 77.66.234.235[500]
17:30:10 ipsec,debug,packet c1a48594 4e7f29bf 00000000 00000000 01100200 00000000 0000015c 0d00003c
17:30:10 ipsec,debug,packet 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004
17:30:10 ipsec,debug,packet 00015180 80010007 800e0100 80030001 80020002 80040002 0d000014 4a131c81
17:30:10 ipsec,debug,packet 07035845 5c5728f2 0e95452f 0d000014 8f8d8382 6d246b6f c7a8a6a4 28c11de8
17:30:10 ipsec,debug,packet 0d000014 439b59f8 ba676c4c 7737ae22 eab8f582 0d000014 4d1e0e13 6deafa34
17:30:10 ipsec,debug,packet c4f3ea9f 02ec7285 0d000014 80d0bb3d ef54565e e84645d4 c85ce3ee 0d000014
17:30:10 ipsec,debug,packet 9909b64e ed937c65 73de52ac e952fa6b 0d000014 7d9419a6 5310ca6f 2c179d92
17:30:10 ipsec,debug,packet 15529d56 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014 90cb8091
17:30:10 ipsec,debug,packet 3ebb696e 086381b5 ec427b1f 0d000014 16f6ca16 e4a4066d 83821a0f 0aeaa862
17:30:10 ipsec,debug,packet 0d000014 4485152d 18b6bbcd 0be8a846 9579ddcc 0d000014 12f5f28c 457168a9
17:30:10 ipsec,debug,packet 702d9fe2 74cc0100 00000014 afcad713 68a1f1c9 6b8696fc 77570100
17:30:10 ipsec,debug,packet resend phase1 packet c1a485944e7f29bf:0000000000000000
17:30:19 ipsec,debug,packet 348 bytes from 5.139.128.58[500] to 77.66.234.235[500]
17:30:19 ipsec,debug,packet sockname 5.139.128.58[500]
17:30:19 ipsec,debug,packet send packet from 5.139.128.58[500]
17:30:19 ipsec,debug,packet send packet to 77.66.234.235[500]
17:30:19 ipsec,debug,packet src4 5.139.128.58[500]
17:30:19 ipsec,debug,packet dst4 77.66.234.235[500]
17:30:19 ipsec,debug,packet 1 times of 348 bytes message will be sent to 77.66.234.235[500]
17:30:19 ipsec,debug,packet c1a48594 4e7f29bf 00000000 00000000 01100200 00000000 0000015c 0d00003c
17:30:19 ipsec,debug,packet 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004
17:30:19 ipsec,debug,packet 00015180 80010007 800e0100 80030001 80020002 80040002 0d000014 4a131c81
17:30:19 ipsec,debug,packet 07035845 5c5728f2 0e95452f 0d000014 8f8d8382 6d246b6f c7a8a6a4 28c11de8
17:30:19 ipsec,debug,packet 0d000014 439b59f8 ba676c4c 7737ae22 eab8f582 0d000014 4d1e0e13 6deafa34
17:30:19 ipsec,debug,packet c4f3ea9f 02ec7285 0d000014 80d0bb3d ef54565e e84645d4 c85ce3ee 0d000014
17:30:19 ipsec,debug,packet 9909b64e ed937c65 73de52ac e952fa6b 0d000014 7d9419a6 5310ca6f 2c179d92
17:30:19 ipsec,debug,packet 15529d56 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014 90cb8091
17:30:19 ipsec,debug,packet 3ebb696e 086381b5 ec427b1f 0d000014 16f6ca16 e4a4066d 83821a0f 0aeaa862
17:30:19 ipsec,debug,packet 0d000014 4485152d 18b6bbcd 0be8a846 9579ddcc 0d000014 12f5f28c 457168a9
17:30:19 ipsec,debug,packet 702d9fe2 74cc0100 00000014 afcad713 68a1f1c9 6b8696fc 77570100
17:30:19 ipsec,debug,packet resend phase1 packet c1a485944e7f29bf:0000000000000000
17:30:29 ipsec,debug phase1 negotiation failed due to time up. c1a485944e7f29bf:0000000000000000


vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

А на втором вот увидел такое:
 Еще лог

Код: Выделить всё

22:05:22 ipsec,debug,packet ========== 
22:05:22 ipsec,debug,packet 348 bytes message received from 5.139.128.58[500] to 77.66.234.235[500]
22:05:22 ipsec,debug,packet b5743115 26457844 00000000 00000000 01100200 00000000 0000015c 0d00003c
22:05:22 ipsec,debug,packet 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004
22:05:22 ipsec,debug,packet 00015180 80010007 800e0100 80030001 80020002 80040002 0d000014 4a131c81
22:05:22 ipsec,debug,packet 07035845 5c5728f2 0e95452f 0d000014 8f8d8382 6d246b6f c7a8a6a4 28c11de8
22:05:22 ipsec,debug,packet 0d000014 439b59f8 ba676c4c 7737ae22 eab8f582 0d000014 4d1e0e13 6deafa34
22:05:22 ipsec,debug,packet c4f3ea9f 02ec7285 0d000014 80d0bb3d ef54565e e84645d4 c85ce3ee 0d000014
22:05:22 ipsec,debug,packet 9909b64e ed937c65 73de52ac e952fa6b 0d000014 7d9419a6 5310ca6f 2c179d92
22:05:22 ipsec,debug,packet 15529d56 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014 90cb8091
22:05:22 ipsec,debug,packet 3ebb696e 086381b5 ec427b1f 0d000014 16f6ca16 e4a4066d 83821a0f 0aeaa862
22:05:22 ipsec,debug,packet 0d000014 4485152d 18b6bbcd 0be8a846 9579ddcc 0d000014 12f5f28c 457168a9
22:05:22 ipsec,debug,packet 702d9fe2 74cc0100 00000014 afcad713 68a1f1c9 6b8696fc 77570100
22:05:22 ipsec,debug,packet begin.
22:05:22 ipsec,debug,packet seen nptype=1(sa)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet seen nptype=13(vid)
22:05:22 ipsec,debug,packet succeed.
22:05:22 ipsec,debug received Vendor ID: RFC 3947
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-08
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-06
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-05
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-04
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
22:05:22 ipsec,debug
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-01
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
22:05:22 ipsec,debug received Vendor ID: CISCO-UNITY
22:05:22 ipsec,debug received Vendor ID: DPD
22:05:22 ipsec,debug Selected NAT-T version: RFC 3947
22:05:22 ipsec,debug,packet total SA len=56
22:05:22 ipsec,debug,packet 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004
22:05:22 ipsec,debug,packet 00015180 80010007 800e0100 80030001 80020002 80040002
22:05:22 ipsec,debug,packet begin.
22:05:22 ipsec,debug,packet seen nptype=2(prop)
22:05:22 ipsec,debug,packet succeed.
22:05:22 ipsec,debug,packet proposal #1 len=48
22:05:22 ipsec,debug,packet begin.
22:05:22 ipsec,debug,packet seen nptype=3(trns)
22:05:22 ipsec,debug,packet succeed.
22:05:22 ipsec,debug,packet transform #1 len=40
22:05:22 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds
22:05:22 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4
22:05:22 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC
22:05:22 ipsec,debug,packet encryption(aes)
22:05:22 ipsec,debug,packet type=Key Length, flag=0x8000, lorv=256
22:05:22 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-shared key
22:05:22 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA
22:05:22 ipsec,debug,packet hash(sha1)
22:05:22 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit MODP group
22:05:22 ipsec,debug,packet hmac(modp1024)
22:05:22 ipsec,debug,packet pair 1:
22:05:22 ipsec,debug,packet  0x4dfa90: next=(nil) tnext=(nil)
22:05:22 ipsec,debug,packet proposal #1: 1 transform
22:05:22 ipsec,debug,packet prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1
22:05:22 ipsec,debug,packet trns#=1, trns-id=IKE
22:05:22 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds
22:05:22 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4
22:05:22 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC
22:05:22 ipsec,debug,packet type=Key Length, flag=0x8000, lorv=256
22:05:22 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-shared key
22:05:22 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA
22:05:22 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit MODP group
22:05:22 ipsec,debug,packet Compared: DB:Peer
22:05:22 ipsec,debug,packet (lifetime = 86400:86400)
22:05:22 ipsec,debug,packet (lifebyte = 0:0)
22:05:22 ipsec,debug,packet enctype = AES-CBC:AES-CBC
22:05:22 ipsec,debug,packet (encklen = 256:256)
22:05:22 ipsec,debug,packet hashtype = MD5:SHA
22:05:22 ipsec,debug,packet authmethod = pre-shared key:pre-shared key
22:05:22 ipsec,debug,packet dh_group = 1024-bit MODP group:1024-bit MODP group
22:05:22 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds
22:05:22 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4
22:05:22 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC
22:05:22 ipsec,debug,packet type=Key Length, flag=0x8000, lorv=256
22:05:22 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-shared key
22:05:22 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA
22:05:22 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit MODP group
22:05:22 ipsec,debug rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) = MD5:SHA
22:05:22 ipsec,debug no suitable proposal found.
22:05:22 ipsec,debug failed to get valid proposal.


vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

Увидел, что не совпадали хэш-алгоритмы. Исправил, по логам

Код: Выделить всё

00:02:23 ipsec,de00:02:23 ipsec,debug,packet hash validated. 
00:02:23 ipsec,debug,packet begin.
00:02:23 ipsec,debug,packet seen nptype=8(hash)
00:02:23 ipsec,debug,packet seen nptype=11(notify)
00:02:23 ipsec,debug,packet succeed.
00:02:23 ipsec,debug,packet DPD R-U-There-Ack received
00:02:23 ipsec,debug,packet received an R-U-THERE-ACK
bug,packet hash validated.
00:02:23 ipsec,debug,packet begin.
00:02:23 ipsec,debug,packet seen nptype=8(hash)
00:02:23 ipsec,debug,packet seen nptype=11(notify)
00:02:23 ipsec,debug,packet succeed.
00:02:23 ipsec,debug,packet DPD R-U-There-Ack received
00:02:23 ipsec,debug,packet received an R-U-THERE-ACK

Но почему-то пинги на противоположную сторону не ходят:
[vomus@Voenved] > ping 10.161.0.1

Код: Выделить всё

HOST                                     SIZE TTL TIME  STATUS                                                                                                 
80.80.111.70                               56 255 21ms  admin prohibited                                                                                       
80.80.111.70                               56 255 63ms  admin prohibited                                                                                       
80.80.111.70                               56 255 56ms  admin prohibited                                                                                       
80.80.111.70                               56 255 63ms  admin prohibited                                                                                       
80.80.111.70                               56 255 78ms  admin prohibited                                                                                       
    sent=5 received=0 packet-loss=100%


Vladislav_A
Сообщения: 71
Зарегистрирован: 27 ноя 2012, 17:30

vomus
Но почему-то пинги на противоположную сторону не ходят:

Ну так пищет же - admin prohibited = запрещено администратором
Смотрите, что еще запрещено в firewall - e


vladme078
Сообщения: 6
Зарегистрирован: 22 апр 2014, 16:08

Камрады, у меня другая проблема. Есть микротик, на котором поднят l2tp ipsec. Это в первом офисе. Во втором офисе нужно клиентские машины подключить через впн к этому микротику.
Впн поднялся и работает, но только если подключаться с разных IP. По отдельности каждый клиент может подключиться и работать, но как только подключается второй, то первый отваливается. Логины и пароли у всех разные.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Сделайте каждому клиенту свой туннель.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

 VPN L2TP Mikrotik
/ppp profile
add change-tcp-mss=yes dns-server=192.168.1.254 local-address=172.21.16.254 \
name=VPN-server only-one=no remote-address=VPN-server use-compression=\
default use-encryption=default use-ipv6=no use-mpls=default \
use-vj-compression=default wins-server=192.168.1.3
set 3 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=required use-ipv6=no use-mpls=\
default use-vj-compression=default

/ppp secret
add caller-id=”" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=user password=passwd \
profile=VPN-server routes=”" service=l2tp

/ip pool
add name=VPN-server ranges=172.21.16.100-172.21.16.200

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=VPN-server enabled=yes \
max-mru=1460 max-mtu=1460 mrru=disabled

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des \
lifetime=30m name=default pfs-group=modp1024

/ip ipsec peer
add address=0.0.0.0/0 auth-method=pre-shared-key comment=”COMPANY VPN” \
dh-group=modp1024 disabled=no dpd-interval=2m dpd-maximum-failures=5 \
enc-algorithm=3des exchange-mode=main-l2tp generate-policy=yes \
hash-algorithm=sha1 lifetime=1d my-id-user-fqdn=”" nat-traversal=yes port=\
500 secret=secret_password send-initial-contact=yes

/ip firewall filter
add action=accept chain=input comment=”L2TP VPN” disabled=no dst-address=\
xx.xx.xx.xx dst-port=500,4500,1701 protocol=udp
add action=accept chain=input comment=”L2TP VPN” disabled=no protocol=ipsec-esp
add action=accept chain=output comment=”L2TP VPN” disabled=no dst-address=\
xx.xx.xx.xx dst-port=500,4500,1701 protocol=udp

/system logging
add action=memory disabled=no prefix=”" topics=ipsec
add action=memory disabled=no prefix=”" topics=radius


Ответить