IPSec Mikrotik 450

Обсуждение оборудования и его настройки
Ответить
lexx
Сообщения: 2
Зарегистрирован: 12 апр 2011, 17:29

Приобрел два девайса.
Настраиваю на первых интерфейсах LAN, на вторых WAN. Собираю их как стенд для проверки работоспособности настроек по схеме:

К LAN портам подключаю ПК1 и ПК2 соответственно к R1 и R2, WAN порты соединяю напрямую.

ПК1 192.168.12.2 ПК1 192.168.12.2
| |
LAN 192.168.12.1 LAN 192.168.7.1
R1 R2
WAN 192.168.1.2------------WAN 192.168.1.1

Настраиваю IPSec по инструкции:

Для создания простейшего транспортного IPSec подключения между двумя маршрутизаторами нужно:

на первом маршрутизаторе выполнить:

/ip ipsec policy add sa-src-address=192.168.1.1 sa-dst-address=192.168.1.2 action=encrypt
/ip ipsec peer add address=192.168.1.2/24 secret="drivermania.ru" generate-policy=yes

на втором маршрутизаторе выполнить:

/ip ipsec policy add sa-src-address=192.168.1.2 sa-dst-address=192.168.1.1 action=encrypt
/ip ipsec peer add address=192.168.1.1 secret="drivermania.ru"

Также на обоих маршрутизаторах необходимо разрешить используемые протоколами IPSec порты:

/ip firewall add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no

Если у вас не возникло никаких трудностей с вышеописанным, откройте статистику и посмотрите шифруются ли пакеты

ip ipsec> counters print
out-accept: 7
out-accept-isakmp: 0
out-drop: 0
out-encrypt: 8
in-accept: 16
in-accept-isakmp: 0
in-drop: 0
in-decrypted: 7
in-drop-encrypted-expected: 0

В случае использования IPSec в туннельном режиме для объединения сетей с адресами 192.168.10.0/24 и 192.168.20.0/24 правила будут выглядеть следующим образом.

/ip firewall nat add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 out-interface=public action=masquerade
/ip ipsec policy add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=encrypt tunnel=yes sa-src-address=192.168.1.1 sa-dst-address=192.168.1.2
/ip ipsec peer add address=192.168.1.2 exchange-mode=aggressive secret="drivermania.ru"

и

/ip firewall nat add chain=srcnat src-address=192.168.20.0/24 dst-address=192.168.10.0/24 out-interface=public action=masquerade
/ip ipsec policy add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=encrypt tunnel=yes sa-src-address=192.168.1.2 sa-dst-address=192.168.1.1
/ip ipsec peer add address=192.168.1.1 exchange-mode=aggressive secret="drivermania.ru"


В результате получаю, что туннель поднимается, пинги WAN to WAN проходят, LAN to LAN нет.


Помогите плиз разобраться.


pmilovidov
Сообщения: 69
Зарегистрирован: 02 май 2011, 14:51

NAT? masquerade? всё настроено?


lexx
Сообщения: 2
Зарегистрирован: 12 апр 2011, 17:29

Да, маскарадинг настроил. Но на днях пробовал включить их в реальную схему. Два реальных внешних IP, разных провайдеров. В результате все поднялось при отключенном маскараде, НО! WAN to WAN - ok и пинги с LAN интерфеса на LAN интерфейс второго роутера проходят, а с LAN интерфейса в удаленную локальную сеть не прохдят... Ни стой ни с другой стороны. К описанным выше настройкам добавил на каждом роутере маршрут: src 0.0.0.0/0 dst 0.0.0.0/0 через интерфейс WAN.


pmilovidov
Сообщения: 69
Зарегистрирован: 02 май 2011, 14:51

нарисуйте схему более внятно, и укажите правила фаервола для каждой конкретной подсети.

похоже что у Вас не хватает каких то правил


Ответить