Здравствуйте!
Настроен туннель между микротик 192.168.111.0.24 - 95.хх.хх.хх и Cisco ASA 192.168.1.0/24 - 216.уу.уу.уу. После обновления прошивки на микротике всё пропало:). Туннель поднят с обеих сторон, пинги идут только с самого микротика с указанием интерфейса или адреса. С АСА и с девайсов по обе стороны ничего не проходит. Ниже конфиг микротика, не пойму в чём может быть проблема.
[admin@MikroTik] > export
# mar/05/2020 16:31:10 by RouterOS 6.46.4
# software id = P82M-4Y6A
#
# model = RBD52G-5HacD2HnD
# serial number = ***********
/interface bridge
add name=bridge-LAN
add name=bridge-WAN
/interface l2tp-client
add add-default-route=yes allow=chap,mschap2 connect-to=tp.internet.beeline.ru default-route-distance=5 disabled=no max-mru=1500 max-mtu=1460 name=l2tp-beeline \
password=******** user=*********
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode antenna-gain=0 band=2ghz-onlyn channel-width=20/40mhz-XX country=russia disabled=no \
disconnect-timeout=15s distance=indoors frequency=auto hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge multicast-helper=full name=wlan_2.4 \
on-fail-retry-time=1s ssid=ppd wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode antenna-gain=0 band=5ghz-onlyac channel-width=20/40/80mhz-XXXX country=russia disabled=no \
disconnect-timeout=15s distance=indoors frequency=auto hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge multicast-helper=full name=wlan_5 \
on-fail-retry-time=1s ssid=ppdd wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set wlan_2.4 enable-polling=no
set wlan_5 enable-polling=no
/interface list
add name=ls-LAN-all
add name=ls-WAN-all
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" group-key-update=55m mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=\
**********
/ip dhcp-client option
add code=55 name=parameter_request_list value=0x010306212A79F9
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec peer
add address=216.уу.уу.уу/32 local-address=95.хх.хх.хх name=VPNname
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256 lifetime=1h
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc lifetime=1h
/ip pool
add name=dhcp_pool0 ranges=192.168.111.2-192.168.111.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-LAN name="dhcp - LAN"
/interface bridge port
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
add bridge=bridge-LAN interface=wlan_2.4
add bridge=bridge-LAN interface=wlan_5
add bridge=bridge-WAN interface=ether1
/interface list member
add interface=bridge-LAN list=ls-LAN-all
add interface=bridge-WAN list=ls-WAN-all
add interface=l2tp-beeline list=ls-WAN-all
/ip address
add address=192.168.111.1/24 interface=bridge-LAN network=192.168.111.0
/ip dhcp-client
add default-route-distance=10 dhcp-options=clientid,hostname,parameter_request_list disabled=no interface=bridge-WAN
/ip dhcp-server network
add address=192.168.111.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.111.1
/ip firewall address-list
add address=192.168.111.0/24 list=Local
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input in-interface-list=ls-WAN-all
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=ls-WAN-all
/ip firewall mangle
add action=mark-connection chain=output disabled=yes new-connection-mark=ISP1_conn out-interface=l2tp-beeline passthrough=no
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.111.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=ls-WAN-all src-address=192.168.111.0/24
/ip ipsec identity
add peer=VPNname secret=**********
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.1.0/24 sa-dst-address=216.уу.уу.уу sa-src-address=95.хх.хх.хх src-address=192.168.111.0/24 tunnel=yes
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=bridge-WAN pref-src=192.168.111.1
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=bridge-LAN pref-src=192.168.111.1 scope=10
/ip ssh
set forwarding-enabled=remote
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system logging
add topics=ipsec
add topics=firewall
add topics=packet
add topics=route
add topics=bridge
Ipsec VPN
-
Erik_U
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Кто инициатор IPSEC?
Есть ли ошибки в логе?
Пробовали откатить прошивку?
Есть ли ошибки в логе?
Пробовали откатить прошивку?
-
Pashtix
- Сообщения: 3
- Зарегистрирован: 05 мар 2020, 16:13
Инициатор вроде как микротик
В логе ошибок не видел
Не откатывается почему-то
Может перегрелся?:) дать ему подостыть...
В логе ошибок не видел
Не откатывается почему-то
Может перегрелся?:) дать ему подостыть...
-
Erik_U
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Если инициатор микротик - настраивайте циску. У инициатора одна галочка и ключ. И логи смотрите на циске.
Если прошивка не откатывается - значит машины захватили власть в вашей конкретной реальности. Поздравляю.
Если прошивка не откатывается - значит машины захватили власть в вашей конкретной реальности. Поздравляю.
-
Pashtix
- Сообщения: 3
- Зарегистрирован: 05 мар 2020, 16:13
Проблема была в промежуточном свиче. Напрямую от микротика всё работает. Спасибо.