IKEv2 с серого IP

Обсуждение ПО и его настройки
Ответить
sym25
Сообщения: 4
Зарегистрирован: 30 сен 2019, 12:03

задача:
настроить ipsec IKEv2 соединение с банком.
есть:
1. модем ZTE MF28D (LAN 192.168.1.0/24) c сим-картой, статический белый IР
2. Mikrotik hap mini OS 6.45.6
Банк допускает только IKEv2
на микротике ван-порт имеет внутренний (серый) ип модема(LAN 192.168.1.2), из-за этого не устанавливается подключение (надо чтобы IP WAN микротика был белый IP)
Как победить?


Вернуться к началу
Sertik
Сообщения: 1601
Зарегистрирован: 15 сен 2017, 09:03

А если включить lte passthrough (https://wiki.mikrotik.com/wiki/Manual:I ... gh_Example) ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Вернуться к началу
sym25
Сообщения: 4
Зарегистрирован: 30 сен 2019, 12:03

Sertik писал(а): 30 сен 2019, 13:33 А если включить lte passthrough (https://wiki.mikrotik.com/wiki/Manual:I ... gh_Example) ?
Вы не поняли: у меня отдельный модем с симкартой (ZTE), работающий в режиме роутера.
У микротика моего нету усб, ван порт микротика подключен кабелем в порт LAN ZTE


Вернуться к началу
Sertik
Сообщения: 1601
Зарегистрирован: 15 сен 2017, 09:03

Тогда Вам нужно пробрасывать порты Ikev2 c роутера ZTE на Микротик и уже на нем (Микротике) открывать VPN-сервер для Вашего банка
И не забудьте NaT-T включить в настройках IPSec на Вашем Микротике.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Вернуться к началу
sym25
Сообщения: 4
Зарегистрирован: 30 сен 2019, 12:03

Sertik писал(а): 30 сен 2019, 14:05 Тогда Вам нужно пробрасывать порты Ikev2 c роутера ZTE на Микротик и уже на нем (Микротике) открывать VPN-сервер для Вашего банка
И не забудьте NaT-T включить в настройках IPSec на Вашем Микротике.
вот это и не получается. на ZTE включен port forwarding всех портов на микротик.
Но проблема похоже в другом: в настройках IPSec микротика (peers) необходимо указать local address - это должен быть мой "белый IP", а ван порт микротика имеет серый адрес.
Если указываю серый - получаю ошибку (похоже от адресата):
ike2 reply, exchange: SA_INIT: 0 87.x.x.x[500]
ike2 initilize recv
payload seen: NoTIFY
error: payload missing: SA

если указываю "белый IP", то получаю ошибку: sendmsg (Invalid argument) (похоже, что ничего даже не уходит с микротика в инет), так как адрес ван микротика не равен белому адресу


Вернуться к началу
Sertik
Сообщения: 1601
Зарегистрирован: 15 сен 2017, 09:03

Укажите там белый IP первого роутера ZTE, который "прокидываете" на Микротик.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Вернуться к началу
sym25
Сообщения: 4
Зарегистрирован: 30 сен 2019, 12:03

Sertik писал(а): 01 окт 2019, 16:40 Укажите там белый IP первого роутера ZTE, который "прокидываете" на Микротик.
так я так и делаю. Белый IP - это IP адрес ZTE, кот. смотрит в инет
в таком случае ошибка SendMsg (Invalid Argument), выше писал


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»