Mikrotik IPsec, RoadWarrior linux

Обсуждение ПО и его настройки
Ответить
sergey.ocheretnyy
Сообщения: 2
Зарегистрирован: 12 авг 2020, 09:05

Есть следующая схема:
На Микротике hEX S:
10.0.0.174/24 LAN (eth2-5 в bridge)
20.20.20.1/24 Условный INET (eth1)
К нему подключается PC Linux Mint в режиме RoadWarrior, на ПК поднят виртуальный интерфейс ipsec, который при подключении получает из пула адрес 10.50.50.x. Туннель между ними устанавливается, на интерфейсе пк(ipsec) появляется адрес 10.50.50.20. Пинги в сеть 10.0.0.0\24 ходят, на Mikrotik в Ipsec->Active peers по счетчику пакетов вижу что все летит через туннель, все ОК.
С Mikrotik пингуется машина по адресу 10.50.50.20. С подсети 10.0.0.0/24 пинги до 10.50.50.20 не летят. На ПК фаервол голый, пробовал добавлять /ip firewall nat chain=srcnat dst-address=10.50.50.0/24 action=masquerade - не помогает.

Соответственно конфиг микрота такой:

Код: Выделить всё

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5


/ip address
add address=10.0.0.174/24 interface=bridge1 network=10.0.0.0
add address=20.20.20.1/24 interface=ether1 network=20.20.20.0

/ip pool
add name=pool1 ranges=10.50.50.10-10.50.50.20


/ip ipsec peer
add exchange-mode=ike2 local-address=20.20.20.1 name=peer1 passive=yes
/ip ipsec policy group
add name=ike2-policy
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=md5
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=aes-256-cbc

/ip ipsec mode-config
add address-pool=pool1 name=cfg1 split-include=10.0.0.0/24 system-dns=no



/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat dst-address=10.0.0.0/24 out-interface=bridge1

/ip ipsec identity
add generate-policy=port-strict mode-config=cfg1 peer=peer1 policy-template-group=ike2-policy secret=secretipsec
/ip ipsec policy
add dst-address=10.50.50.0/24 group=ike2-policy src-address=0.0.0.0/0 template=yes
/ip ipsec settings
set accounting=no
/ip route 
add comment="DEFAULT GATEWAY" distance=1 gateway=20.20.20.2
add dst-address-10.50.50.0/24 gateway=bridge1
На ПК сделаны следующие манипуляции:
apt install strongswan
Создаю виртуальный интерфейс

Код: Выделить всё

ip link add dummy0 type dummy
ip link set name ipsec dev dummy0
ifconfig ipsec hw ether 8a:58:58:61:b1:c1
В конфиге /etc/ipsec.conf:

Код: Выделить всё

conn peer1
authby=secret
keyexchange=ikev2
ike=aes256-md5-mopd1024
esp=aes256-md5

leftsubnet=%modeconfig

right=20.20.20.1
rightsubnet=10.0.0.0/24
auto=add
В конфиге /etc/strongswan.d/charon.conf :

Код: Выделить всё

charon {
install_routes = yes
install_virtual_ip = yes
install_virtual_ip_on = ipsec
На пк запускаю ipsec:
ipsec start
ipsec up peer1

Собственно вывод ipsec statusall говорит что связь утсановлена. По счетчику пакетов я вижу что все летит в 10.0.0.0 через тунель. Вопрос как достучатся до самого пк по адресу 10.50.50.х с подсети 10.0.0.0/24?

P.S.: Да, виртуальный интерфейс "нужен".


Ответить