Что-то странное происходит с IPsec'ом

Обсуждение оборудования и его настройки
Ответить
vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

Добрый день!
Прошу помощи в настройке одновременно L2TP/IPsec и site-to-site IPsec между двумя "Микротиками". Первый рутер RB2011UiAS-RM, второй 951G-2HnD. На первом поднял L2TP/IPsec

Код: Выделить всё

/ip pool add name=l2tp-pool ranges=10.161.1.104-10.161.1.112
/ppp profile add name=L2TP local-address=10.161.1.101 remote-address=l2tp-pool \
dns-server=10.161.0.1 change-tcp-mss=yes address-list=L2TP_Clients
/ppp secret add name=name password=password profile=L2TP service=l2tp routes="10.161.0.0/16 10.161.1.101"
/interface l2tp-server server set default-profile=L2TP enabled=yes
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128,aes-192,aes-256 lifetime=12h
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp generate-policy=port-strict
secret=secret hash-algorithm=sha1 send-initial-contact=yes nat-traversal=yes

Завелось. Затем между первым и вторым поднял site-to-site IPsec

Код: Выделить всё

/ip ipsec peer add \
address=DDNS2 nat-traversal=yes auth-method=pre-shared-key secret="12345"
/ip ipsec policy add \
src-address=10.161.0.0/21 src-port=any dst-address=10.161.8.0/21 dst-port=any \
sa-src-address=DDNS1 sa-dst-address=DDNS2 \
tunnel=yes action=encrypt proposal=default
/ip firewall nat add \
chain=srcnat action=accept place-before=0
src-address=10.161.0.0/21 dst-address=10.161.8.0/21
/ip route add disabled=no distance=1 scope=30 target-scope=10 \
dst-address=10.161.8.0/21 gateway=10.161.0.1

и, соответственно, на втором зеркально

Код: Выделить всё

/ip ipsec peer add comment="IPsec Peer to Safianovo" \
address=DDNS1 nat-traversal=yes auth-method=pre-shared-key secret="12345"
/ip ipsec policy add \
src-address=10.161.8.0/21 src-port=any dst-address=10.161.0.0/21 dst-port=any \
sa-src-address=DDNS2 sa-dst-address=DDNS1 \
tunnel=yes action=encript proposal=default
/ip firewall nat add \
chain=srcnat action=accept  place-before=0 \
src-address=10.161.8.0/21 dst-address=10.161.0.0/21
/ip route add disabled=no distance=1 scope=30 target-scope=10 \
dst-address=10.161.0.0/21 gateway=10.161.10.1

Написал скрипты, которые меняют DDNS1 и DDNS2 в соответствии с текущими. Все поднялось. Но почему-то пропал L2TP/IPsec. Подумал, что виновал апгрейд RouterOS'а на первом с 6.7 на 6.12. Вернул 6.7 назад. Отвалился site-to-site IPsec, правда не уверен, что по этой причине :-(

Начал смотреть, что же происходит с L2TP/IPsec и в логах. Вижу, что мобильный телефон соединяется, даже ISAKMP поднимается, но потом на 2 этапе все просто умирает по таймауту. В логе на https://dl.dropboxusercontent.com/u/17122938/ipsec_v67.log
адрес 46.61.18.28 это рутер 1, 185.3.34.7 и "левый" 172.29.30.88 это мобильный телефон (Андроид), а 77.66.234.235 это рутер 2, который почему-то тоже отваливается по таймауту.

Может кто-нибудь помочь и объяснить, в чем дело? Пишу уже в разные места... Видимо, буду писать в платный саппорт, если и тут дело плохо будет... :nez-nayu:


Ответить