rb750up+cisco

Обсуждение ПО и его настройки
webmins
Сообщения: 8
Зарегистрирован: 30 июл 2013, 11:24

Доброго времени суток. Весь мозг себе сломал.

Имею rb750up. Нужно настроить ipsec vpn с cisco.
Топология следующая:
z.x.c.v внешний адрес циски
q.w.e.r внешний адрес микротика
10.255.0.0/24 сеть пользователями за циской
10.255.100.0/24 сеть с пользователями за микротиком
Сеть 10.255.0.0/24<--->10.255.0.1 @Cisco@ z.x.c.v<--inet-->q.w.e.r @rb750up@ 10.255.100.1 <---> Сеть 10.255.100.0/24
Циска отконфигурена, настроена и работает. Проверял связкой racoon+setkey.
Собственно конфиг с микротика.

[admin@MikroTik] /ip ipsec peer> print
0 address=z.x.c.v/32 port=500 auth-method=pre-shared-key secret="секретное слово" generate-policy=yes exchange-mode=main send-initial-contact=yes nat-traversal=no my-id-user-fqdn="" proposal-check=strict
hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=268435456 dpd-interval=2m dpd-maximum-failures=10
[admin@MikroTik] /ip ipsec proposal> print
0 name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=1h pfs-group=modp1024
[admin@MikroTik] /ip ipsec policy> print

0 src-address=10.255.100.0/24 src-port=any dst-address=10.255.0.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=q.w.e.r sa-dst-address=z.x.c.v

proposal=default priority=0

Собственно девственно чистый нат, за исключением нужного правила:
0 chain=srcnat action=accept



1 chain=srcnat action=accept src-address=10.255.100.0/24

dst-address=10.255.0.0/24



2 ;;; default configuration

chain=srcnat action=masquerade out-interface=ether1-gateway

От пингов циска закрыта. В IP->IPsec-> Remote peers строчки с удалённым пиром нет. Я так понимаю, что микротик сам не кидает первый пакет, то есть не инициирует соединение. В чём грабли?!


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

тут не смотрели? человек вроде как успешно поднимал то что ему нужно.
viewtopic.php?f=3&t=3662&hilit=ipsec+cisco
log по ipsec топику не запускали на мтике? что циска говорит в своих логах?


webmins
Сообщения: 8
Зарегистрирован: 30 июл 2013, 11:24

Да спасибо посмотрел. Уникальным уровень выставил изначально.
log по ipsec топику не запускали на мтике? Как это сделать?
Самое интересное, что циска вообще ничего не видит от микротика.


webmins
Сообщения: 8
Зарегистрирован: 30 июл 2013, 11:24

Более того, имею мнение, что сам мтик не хочет соединение устанавливать. Если хотел то писал бы в логах, что то типа "conection peer" .... в таком духе. А там в пусто.
пысы Было похожее при поднятии openvpn на длинк дср250, поддержка опции оборудованием есть , но не работала.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

webmins писал(а):log по ipsec топику не запускали на мтике? Как это сделать?

Код: Выделить всё

/system logging add topics=ipsec action=memory

ну и идёте в Log, смотреть что там падает.


webmins
Сообщения: 8
Зарегистрирован: 30 июл 2013, 11:24

Jul/30/2013 14:51:06 memory system, info log rule added by admin
Jul/30/2013 14:51:15 memory system, info ipsec policy changed by admin
Jul/30/2013 14:51:17 memory system, info ipsec policy changed by admin
Jul/30/2013 14:51:22 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:22 memory ipsec, debug unbind ::ffff:q.w.e.r
Jul/30/2013 14:51:22 memory ipsec, debug unbind ::ffff:10.255.100.1
Jul/30/2013 14:51:22 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:22 memory system, info ipsec peer changed by admin
Jul/30/2013 14:51:32 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:32 memory ipsec, debug q.w.e.r[500] used as isakmp port (fd=15)
Jul/30/2013 14:51:32 memory ipsec, debug 10.255.100.1[500] used as isakmp port (fd=16)
Jul/30/2013 14:51:32 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:32 memory system, info ipsec peer changed by admin
Jul/30/2013 14:51:42 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:42 memory system, info ipsec proposal default changed by admin
Jul/30/2013 14:51:45 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:45 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:45 memory system, info ipsec proposal default changed by admin
Jul/30/2013 14:55:20 memory system, info, account user admin logged in from 10.255.100.96 via web

Вот что твориться в логах.
"Connection to peer"-ом даже не пахнет.


webmins
Сообщения: 8
Зарегистрирован: 30 июл 2013, 11:24

К слову. Интерфейс ipip1 имеется.

Вот принт.
0 R ipip1 1440 q.w.e.r z.x.c.v

Единственное не понятно каким макаром он привязывается к туннелю.
Если не трудно, то поясните пожалуйста.
Ведь по сути то он должен привязываться как-то.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну так вы же тунель задаете с конкретными адресами, а в ipsec указываете peer.

читайте тут, вроде как ваш случай: http://habrahabr.ru/post/151951/


webmins
Сообщения: 8
Зарегистрирован: 30 июл 2013, 11:24

Согласен, случай почти мой. Только вместо хэш алгоритма md5 в пире я использую sha + режим работы моей удалённой циски tunnel.
Человек пишет что после настройки пира у него сразу высвечиваются строчки в remote peers. Это более чем странно. Ведь пока не пошлёшь пакет в удалённую сеть соединение не может быть установлено. Хотя может он туда пинг -т послал. ХЗ .... может я ошибаюсь.


webmins
Сообщения: 8
Зарегистрирован: 30 июл 2013, 11:24

И забыл совсем!!! В логах циски пусто, нет там инфы про желающих на неё зацепиться.
И очень интересует значение команды proposal check в ipsecpeer.


Ответить