Микротик 450g постоянно разрывает и снова поднимает ipsec.

Обсуждение ПО и его настройки
Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

Здравствуйте.
Схема сети такая
(192.168.68.0/24 сеть)---(192.168.68.2-белый ip tmg server)---интернет---(белый ip микротик 450g--192.168.88.1)---(192.168.88.0/24 сеть)
Сейчас поднят ipsec туннель между TMG и микротик. IPSEC политики на tmg поднимаются автоматически, а на микротик такая политика
srs address 192.168.88.0/24 сеть за микротиком
dst address 192.168.68.0/24 сеть за tmg
SA srs address 79.134.220.71 белый микротик
SA dst address 79.134.220.67 белый TMG

задача такая . чтобы при поднятом ipsec весь трафик из сети за mikrotik в интернет шел через ipsec на tmg и потом в инетрнет.
Проблемы:
1. При поднятом ipsec сети друг друга видят без проблем, но с самого mikrotik сеть за tmg недоступна, пинги не ходят.
2. Чтобы направить весь трафик в туннель я (как мне кажется) должен изменить на микротик политику, а именно
dst address 0.0.0.0/0
но в этом случае ipsec туннель не устанавливается вообще.
В чем может быть проблема?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ip - route - rules Вам помогут


Есть интересная задача и бюджет? http://mikrotik.site
Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

спасибо за ответ.
Но какая маршрутизация при ipsec соединении? Ведь даже виртуальных интерфейсов нет.
Или я что-то не понимаю? Можно поподробнее.
Вот настройки роутера подробнее как у меня сделаны
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение

Неужели так сложно вместо прямых ссылок взять код для форума? Вроде бы лишь строчкой ниже выдают на хостинге кортинок.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

маршруты покажите еще при поднятом ипсек


Есть интересная задача и бюджет? http://mikrotik.site
Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

понял. Хорошо буду пользоваться кодом для форума.
Вот маршруты при поднятом ipsec. Я туда ничего не дописывал, все генерируются автоматически
Изображение

[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 79.134.220.65 1
1 ADC 79.134.208.0/20 79.134.220.71 ether1-gateway 0
2 X S 192.168.68.1/32 79.134.220.69 1
3 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну создайте маршрут 0.0.0.0/0 gateway=IP_TMG routing_mark=to_tmg

Дальше рулес прикручивайте


Есть интересная задача и бюджет? http://mikrotik.site
Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

добавил маршрут
0.0.0.0/0 через внутренний интерфейс tmg.
routing_mark=to_tmg
а какое правило rules написать?
192.168.68.100 c микротик недоступен. Будет ли работать такой маршрут?
Изображение


Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

Здравствуйте.
Пинги с микротик в сеть за tmg пошли если в качестве источника пинга выбрать внутренний интерфейс микротик. Теперь вопрос как заставить маршрут 0.0.0.0/0 gateway=IP_TMG чтобы он тоже смотрел как-бы с внутреннего интерфейса? Указать внутренний интерфейс при создании маршрута нет возможности.
Вообщем надо при наличии туннеля весь трафик слать в туннель, а вот как это сделать...


Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

Добрый день.
Есть микротик 450g. Он поднимает PPPOE соединение с провайдером через adsl модем. Модем в режиме бриджа. На микротике организован ipsec туннель c microsoft tmg server в другом офисе. Параметры ipsec такие
ipsec policy
source address 192.168.106.0/24
dst address 192.168.68.0/24
protocol all
action encrypt
level require
ipsec protocols esp
tunnel
sa srs белый адрес микротик
sa dst белый ip tmg
--
peer phase 1
address белый ip tmg
port 500
secret xxxxx
exchange mode main
send initial contact
proposal check obey
hash algorithm sha1
encr algorithm 3des
dh group modp1024
generate policy no
lifetime 08:00:00
dpd interval 120
dpd maximum failures 5
---
proposal
auth algorithm sha1
encr algorithm 3des
lifetime 01:00:00
pfs group modp1024

ipsec соединение устанавливается быстро и без проблем. Но в течении дня в закладке remote peer видно что соединение очень часто рвется (time established не достигает и 10 минут) при этом на закладке installed sa генерирубтся новые ключи. К концу дня их может быть больше сотни. Почему это может происходить?
Это нормально? Я раньше никогда с микротиком не работал и думал что ключей в installed sa должно быть не больше двух. При этом pppoe сессия не разрывается в течении дня. Может есть на микротик настройки чтобы уменьшить порог разрыва ipsec соединения? Чтобы оно установилось с утра и больше не разрывалось.
Кстати ночью когда никто не работает соединение не разрывается и всю ночь работает одна пара ключей.
Спасибо.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Так ли уж необходимо было открывать новую тему. Объединил две Ваших в одну, все равно Вы вокруг одного пня крутитесь уж второй месяц.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить