И снова про IPSEC

Обсуждение оборудования и его настройки
Ответить
u3max
Сообщения: 26
Зарегистрирован: 10 дек 2014, 07:58

В поиске по форуму вот что пишет:
"Следующие слова в поисковом запросе были проигнорированы, так как являются часто употребимыми: ipsec настройка.
Для поиска Вы должны ввести, как минимум, одно слово. Длина каждого слова должна быть не менее 3 и не более 14 символов, исключая символ шаблона *."

Так что создам тему. Нужна помощь в настройке IPSEC м/у 2-мя Mikrotik. Объединить их в одну сеть.
Настроил их вот так:

/ip firewall nat add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 out-interface=ether1-gateway action=masquerade

/ip ipsec policy add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=encrypt tunnel=yes sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2

/ip ipsec peer add address=192.168.1.2 exchange-mode=aggressive secret="blablabla"

и на втором

/ip firewall nat add chain=srcnat src-address=192.168.20.0/24 dst-address=192.168.10.0/24 out-interface=ether1-gateway action=masquerade

/ip ipsec policy add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=encrypt tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1

/ip ipsec peer add address=192.168.1.1 exchange-mode=aggressive secret="blablabla"

В Remote peers туннель появляется, в Installed SAs ключи тоже появились.

Нет пинга с клиентов и с Traceroute(WINBOX) тоже.
Файрволы отключил уже.
какой-то строчки для роута не хватает?!?
Долбаюсь уже неделю, помогите, плиз....


olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

http://wiki.mikrotik.com/wiki/Russian/% ... E_Mikrotik
Все работает, проверенно.


CCR1036-12G-4S + RB2011UiAS
u3max
Сообщения: 26
Зарегистрирован: 10 дек 2014, 07:58

olegs писал(а):http://wiki.mikrotik.com/wiki/Russian/%D0%9E%D0%B1%D1%8A%D0%B5%D0%B4%D0%B8%D0%BD%D1%8F%D0%B5%D0%BC_%D0%BE%D1%84%D0%B8%D1%81%D1%8B_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_Mikrotik
Все работает, проверенно.


Как раз по этой статье и настраивал(IPSEC). Если сравнить мой скрипт с тем скриптом, то разница будет только в адресах и ключе.


u3max
Сообщения: 26
Зарегистрирован: 10 дек 2014, 07:58

Туннель создается, пакеты не ходят...


carassin
Сообщения: 49
Зарегистрирован: 24 сен 2013, 16:24

насколько я понимаю не правильно
/ip ipsec peer add address=192.168.1.1

правильно будет на первом
/ip ipsec peer add address=1.1.1.1
и на втором
/ip ipsec peer add address=2.2.2.2

так пробовали ?


u3max
Сообщения: 26
Зарегистрирован: 10 дек 2014, 07:58

Убрал из out-interface=ether1-gateway название интерфейса и в action=masquerade сделал action=accept
Заработало, спасибо всем!


Ответить