Здравствуйте.
Схема сети такая
(192.168.68.0/24 сеть)---(192.168.68.2-белый ip tmg server)---интернет---(белый ip микротик 450g--192.168.88.1)---(192.168.88.0/24 сеть)
Сейчас поднят ipsec туннель между TMG и микротик. IPSEC политики на tmg поднимаются автоматически, а на микротик такая политика
srs address 192.168.88.0/24 сеть за микротиком
dst address 192.168.68.0/24 сеть за tmg
SA srs address 79.134.220.71 белый микротик
SA dst address 79.134.220.67 белый TMG
задача такая . чтобы при поднятом ipsec весь трафик из сети за mikrotik в интернет шел через ipsec на tmg и потом в инетрнет.
Проблемы:
1. При поднятом ipsec сети друг друга видят без проблем, но с самого mikrotik сеть за tmg недоступна, пинги не ходят.
2. Чтобы направить весь трафик в туннель я (как мне кажется) должен изменить на микротик политику, а именно
dst address 0.0.0.0/0
но в этом случае ipsec туннель не устанавливается вообще.
В чем может быть проблема?
Микротик 450g постоянно разрывает и снова поднимает ipsec.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 20
- Зарегистрирован: 08 мар 2014, 13:20
спасибо за ответ.
Но какая маршрутизация при ipsec соединении? Ведь даже виртуальных интерфейсов нет.
Или я что-то не понимаю? Можно поподробнее.
Вот настройки роутера подробнее как у меня сделаны
Неужели так сложно вместо прямых ссылок взять код для форума? Вроде бы лишь строчкой ниже выдают на хостинге кортинок.
Но какая маршрутизация при ipsec соединении? Ведь даже виртуальных интерфейсов нет.
Или я что-то не понимаю? Можно поподробнее.
Вот настройки роутера подробнее как у меня сделаны
Неужели так сложно вместо прямых ссылок взять код для форума? Вроде бы лишь строчкой ниже выдают на хостинге кортинок.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 20
- Зарегистрирован: 08 мар 2014, 13:20
понял. Хорошо буду пользоваться кодом для форума.
Вот маршруты при поднятом ipsec. Я туда ничего не дописывал, все генерируются автоматически
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 79.134.220.65 1
1 ADC 79.134.208.0/20 79.134.220.71 ether1-gateway 0
2 X S 192.168.68.1/32 79.134.220.69 1
3 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0
Вот маршруты при поднятом ipsec. Я туда ничего не дописывал, все генерируются автоматически
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 79.134.220.65 1
1 ADC 79.134.208.0/20 79.134.220.71 ether1-gateway 0
2 X S 192.168.68.1/32 79.134.220.69 1
3 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну создайте маршрут 0.0.0.0/0 gateway=IP_TMG routing_mark=to_tmg
Дальше рулес прикручивайте
Дальше рулес прикручивайте
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 20
- Зарегистрирован: 08 мар 2014, 13:20
-
- Сообщения: 20
- Зарегистрирован: 08 мар 2014, 13:20
Здравствуйте.
Пинги с микротик в сеть за tmg пошли если в качестве источника пинга выбрать внутренний интерфейс микротик. Теперь вопрос как заставить маршрут 0.0.0.0/0 gateway=IP_TMG чтобы он тоже смотрел как-бы с внутреннего интерфейса? Указать внутренний интерфейс при создании маршрута нет возможности.
Вообщем надо при наличии туннеля весь трафик слать в туннель, а вот как это сделать...
Пинги с микротик в сеть за tmg пошли если в качестве источника пинга выбрать внутренний интерфейс микротик. Теперь вопрос как заставить маршрут 0.0.0.0/0 gateway=IP_TMG чтобы он тоже смотрел как-бы с внутреннего интерфейса? Указать внутренний интерфейс при создании маршрута нет возможности.
Вообщем надо при наличии туннеля весь трафик слать в туннель, а вот как это сделать...
-
- Сообщения: 20
- Зарегистрирован: 08 мар 2014, 13:20
Добрый день.
Есть микротик 450g. Он поднимает PPPOE соединение с провайдером через adsl модем. Модем в режиме бриджа. На микротике организован ipsec туннель c microsoft tmg server в другом офисе. Параметры ipsec такие
ipsec policy
source address 192.168.106.0/24
dst address 192.168.68.0/24
protocol all
action encrypt
level require
ipsec protocols esp
tunnel
sa srs белый адрес микротик
sa dst белый ip tmg
--
peer phase 1
address белый ip tmg
port 500
secret xxxxx
exchange mode main
send initial contact
proposal check obey
hash algorithm sha1
encr algorithm 3des
dh group modp1024
generate policy no
lifetime 08:00:00
dpd interval 120
dpd maximum failures 5
---
proposal
auth algorithm sha1
encr algorithm 3des
lifetime 01:00:00
pfs group modp1024
ipsec соединение устанавливается быстро и без проблем. Но в течении дня в закладке remote peer видно что соединение очень часто рвется (time established не достигает и 10 минут) при этом на закладке installed sa генерирубтся новые ключи. К концу дня их может быть больше сотни. Почему это может происходить?
Это нормально? Я раньше никогда с микротиком не работал и думал что ключей в installed sa должно быть не больше двух. При этом pppoe сессия не разрывается в течении дня. Может есть на микротик настройки чтобы уменьшить порог разрыва ipsec соединения? Чтобы оно установилось с утра и больше не разрывалось.
Кстати ночью когда никто не работает соединение не разрывается и всю ночь работает одна пара ключей.
Спасибо.
Есть микротик 450g. Он поднимает PPPOE соединение с провайдером через adsl модем. Модем в режиме бриджа. На микротике организован ipsec туннель c microsoft tmg server в другом офисе. Параметры ipsec такие
ipsec policy
source address 192.168.106.0/24
dst address 192.168.68.0/24
protocol all
action encrypt
level require
ipsec protocols esp
tunnel
sa srs белый адрес микротик
sa dst белый ip tmg
--
peer phase 1
address белый ip tmg
port 500
secret xxxxx
exchange mode main
send initial contact
proposal check obey
hash algorithm sha1
encr algorithm 3des
dh group modp1024
generate policy no
lifetime 08:00:00
dpd interval 120
dpd maximum failures 5
---
proposal
auth algorithm sha1
encr algorithm 3des
lifetime 01:00:00
pfs group modp1024
ipsec соединение устанавливается быстро и без проблем. Но в течении дня в закладке remote peer видно что соединение очень часто рвется (time established не достигает и 10 минут) при этом на закладке installed sa генерирубтся новые ключи. К концу дня их может быть больше сотни. Почему это может происходить?
Это нормально? Я раньше никогда с микротиком не работал и думал что ключей в installed sa должно быть не больше двух. При этом pppoe сессия не разрывается в течении дня. Может есть на микротик настройки чтобы уменьшить порог разрыва ipsec соединения? Чтобы оно установилось с утра и больше не разрывалось.
Кстати ночью когда никто не работает соединение не разрывается и всю ночь работает одна пара ключей.
Спасибо.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так ли уж необходимо было открывать новую тему. Объединил две Ваших в одну, все равно Вы вокруг одного пня крутитесь уж второй месяц.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...