rb750up+cisco
Добавлено: 30 июл 2013, 11:54
Доброго времени суток. Весь мозг себе сломал.
Имею rb750up. Нужно настроить ipsec vpn с cisco.
Топология следующая:
z.x.c.v внешний адрес циски
q.w.e.r внешний адрес микротика
10.255.0.0/24 сеть пользователями за циской
10.255.100.0/24 сеть с пользователями за микротиком
Сеть 10.255.0.0/24<--->10.255.0.1 @Cisco@ z.x.c.v<--inet-->q.w.e.r @rb750up@ 10.255.100.1 <---> Сеть 10.255.100.0/24
Циска отконфигурена, настроена и работает. Проверял связкой racoon+setkey.
Собственно конфиг с микротика.
[admin@MikroTik] /ip ipsec peer> print
0 address=z.x.c.v/32 port=500 auth-method=pre-shared-key secret="секретное слово" generate-policy=yes exchange-mode=main send-initial-contact=yes nat-traversal=no my-id-user-fqdn="" proposal-check=strict
hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=268435456 dpd-interval=2m dpd-maximum-failures=10
[admin@MikroTik] /ip ipsec proposal> print
0 name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=1h pfs-group=modp1024
[admin@MikroTik] /ip ipsec policy> print
0 src-address=10.255.100.0/24 src-port=any dst-address=10.255.0.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=q.w.e.r sa-dst-address=z.x.c.v
proposal=default priority=0
Собственно девственно чистый нат, за исключением нужного правила:
0 chain=srcnat action=accept
1 chain=srcnat action=accept src-address=10.255.100.0/24
dst-address=10.255.0.0/24
2 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-gateway
От пингов циска закрыта. В IP->IPsec-> Remote peers строчки с удалённым пиром нет. Я так понимаю, что микротик сам не кидает первый пакет, то есть не инициирует соединение. В чём грабли?!
Имею rb750up. Нужно настроить ipsec vpn с cisco.
Топология следующая:
z.x.c.v внешний адрес циски
q.w.e.r внешний адрес микротика
10.255.0.0/24 сеть пользователями за циской
10.255.100.0/24 сеть с пользователями за микротиком
Сеть 10.255.0.0/24<--->10.255.0.1 @Cisco@ z.x.c.v<--inet-->q.w.e.r @rb750up@ 10.255.100.1 <---> Сеть 10.255.100.0/24
Циска отконфигурена, настроена и работает. Проверял связкой racoon+setkey.
Собственно конфиг с микротика.
[admin@MikroTik] /ip ipsec peer> print
0 address=z.x.c.v/32 port=500 auth-method=pre-shared-key secret="секретное слово" generate-policy=yes exchange-mode=main send-initial-contact=yes nat-traversal=no my-id-user-fqdn="" proposal-check=strict
hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=268435456 dpd-interval=2m dpd-maximum-failures=10
[admin@MikroTik] /ip ipsec proposal> print
0 name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=1h pfs-group=modp1024
[admin@MikroTik] /ip ipsec policy> print
0 src-address=10.255.100.0/24 src-port=any dst-address=10.255.0.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=q.w.e.r sa-dst-address=z.x.c.v
proposal=default priority=0
Собственно девственно чистый нат, за исключением нужного правила:
0 chain=srcnat action=accept
1 chain=srcnat action=accept src-address=10.255.100.0/24
dst-address=10.255.0.0/24
2 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-gateway
От пингов циска закрыта. В IP->IPsec-> Remote peers строчки с удалённым пиром нет. Я так понимаю, что микротик сам не кидает первый пакет, то есть не инициирует соединение. В чём грабли?!