IPIP, IPSec между двумя сетями через инет ("для чайников")

Обсуждение ПО и его настройки
biggleb
Сообщения: 12
Зарегистрирован: 14 авг 2014, 20:32

По первому пункту:
Правила NAT 10.20.0.0/24 (подсеть) -> 192.168.0.0/24 (подсеть), и на втором роутере в обратную сторону вполне достаточно.
Это и есть маршрут: подсеть в подсеть, больше ничего городить не нужно.
Именно так у меня все благополучно работает.

По второму пункту:
Вопрос скорее не по теме, и требует более подробного рассмотрения в отдельной теме...
Какое оборудование, как выходят в сеть роутеры?..


Аватара пользователя
pubuser
Сообщения: 62
Зарегистрирован: 14 мар 2014, 18:14

Почему то в NAT мне оказалось недостаточно маршрута, пинги не проходят. Добавил в Routes и пошло все четко ну да не в этом дело.

Насчет интернета.
1) Оба роутера получают серый ip на своем WAN порту, из сетки 10.0.0.0/8
2) Оба девайса по этим серым ip пингуются без проблем. Во втором настроено L2TP соединение с интернетом, получает правда оно тоже серый ip и инет идет через NAT провайдера но это не влияет на суть дела.
3) Если я ко второму роутеру с инетом цепляюсь дополнительно по PPTP\L2TP - инет появляется на первом роутере, достаточно прописать роут 0.0.0.0/0 или автоматический дефолт роут поставить - инет есть.
4) Как бы получить инет на первом роутере, не цепляясь никакими PPP ко второму роутеру?
5) Они оба соединены через Ipsec, подсети локальные обоих - 192.168.0.0/20 видны и пингуются.
6) Пытался шлюзом основным в первом роутере (192.168.1.1) для 0.0.0.0/0 сделать серый локальный ip второго роутера (192.168.2.1) или серый ip (10.50.95.10) получаемый его WAN портом - не прокатывает(
Подозреваю что дело как то в NAT завязано но сообразить не могу. Одного роута с указанием ip основного шлюза мало, видимо какое то правило нат нужно во второй железке чтобы оно отдавало инет первой.


Аватара пользователя
pubuser
Сообщения: 62
Зарегистрирован: 14 мар 2014, 18:14

Еще по ходу дела возник вопросик - если 1 роутер имеет статик ip белый а второй из за ната провайдера, возможно между ними установить связь? Если инициатором (Active) сделать тот что за натом сидит.


biggleb
Сообщения: 12
Зарегистрирован: 14 авг 2014, 20:32

Так попробовать же не долго, раз уж все настроено... Тут вопрос не настройки роутеров, а конкретно Вашей ситуации...


serrom
Сообщения: 7
Зарегистрирован: 17 сен 2014, 13:35

Здравствуйте,

помогите пожалуйста, по-прежнему борюсь с VPN на mikrotik.

Структура:
в центральном офисе CCR1009-8G-1S
в 3 других RB2011UiAS-RM

Поднят ipsec точно так, как описано здесь. На центральном галочки passive не стоит, на остальных - стоят.
Внутренние сети периодически нерестают быть видны с центрального (не все, то одна отваливается, то другая). Обычно раз в сутки, иногда реже - закономерностей пока что не уяснил. Помогает перезагрузка удаленного роутера. При этом они по вшешнему адресу доступны, сети маршрутизируют - падает только VPN.

Прошивки несколько дней назад обновил везде до 6.22.
Не помогло.

Куда копать?


vviz
Сообщения: 75
Зарегистрирован: 09 окт 2014, 16:46

serrom писал(а):Здравствуйте,

помогите пожалуйста, по-прежнему борюсь с VPN на mikrotik.

Структура:
в центральном офисе CCR1009-8G-1S
в 3 других RB2011UiAS-RM

Поднят ipsec точно так, как описано здесь. На центральном галочки passive не стоит, на остальных - стоят.
Внутренние сети периодически нерестают быть видны с центрального (не все, то одна отваливается, то другая). Обычно раз в сутки, иногда реже - закономерностей пока что не уяснил. Помогает перезагрузка удаленного роутера. При этом они по вшешнему адресу доступны, сети маршрутизируют - падает только VPN.

Прошивки несколько дней назад обновил везде до 6.22.
Не помогло.

Куда копать?


Пожалуйста, в с студию схему сетей с указанием имен сетей и белых интерфейсов, конфиги и кто куда должен доступ получить...
Не ясновидящие мы, увы...


serrom
Сообщения: 7
Зарегистрирован: 17 сен 2014, 13:35

vviz писал(а):Пожалуйста, в с студию схему сетей с указанием имен сетей и белых интерфейсов, конфиги и кто куда должен доступ получить...
Не ясновидящие мы, увы...

Ok.

В центре роутер CCR1009-8G-1S:
Внешний: 172.28.22.10
Внутренний: адрес 192.168.0.11, сеть 192.168.0.0/24
 Конфиг центрального роутера
# jan/07/1970 03:00:44 by RouterOS 6.22
# software id = VN4T-YXGI
#
/interface bridge
add mtu=1500 name=bridge1
/interface ethernet
set [ find default-name=ether1 ] l2mtu=1588
set [ find default-name=ether2 ] l2mtu=1588
set [ find default-name=ether3 ] l2mtu=1588
set [ find default-name=ether4 ] l2mtu=1588
set [ find default-name=ether5 ] l2mtu=1590
set [ find default-name=ether6 ] l2mtu=1590
set [ find default-name=ether7 ] l2mtu=1590
set [ find default-name=ether8 ] l2mtu=1590
set [ find default-name=sfp1 ] l2mtu=1590
/ip dhcp-server
add interface=bridge1 lease-time=1w name=server1
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des pfs-group=none
/port
set 0 name=serial0
set 1 name=serial1
/system logging action
set 2 remember=yes
set 3 bsd-syslog=yes remote=192.168.0.30 src-address=0.0.0.0 syslog-facility=local6
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
/ip address
add address=192.168.0.11/24 interface=bridge1 network=192.168.0.0
add address=172.28.22.10/26 interface=ether1 network=172.28.22.0
add address=10.146.102.10/24 interface=ether2 network=10.146.102.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.20.0/24 dns-server=192.168.0.252,192.168.0.51,192.168.20.1 gateway=192.168.20.1
/ip dns
set allow-remote-requests=yes servers=192.168.192.168,172.16.172.16
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=forward comment="Allow established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=related
add chain=forward comment="Allow ICMP forwarding" protocol=icmp
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input comment="Allow IKE" dst-port=4500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid
/ip firewall nat
add chain=srcnat comment="\CF\D2\CE" dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add chain=srcnat comment="\D0\EE\E4\E4\EE\EC" dst-address=192.168.20.0/24 src-address=192.168.0.0/24
add chain=srcnat comment="\C8\ED\F4\E5\EA\F6\E8\FF" dst-address=192.168.30.0/24 out-interface=ether1 src-address=\
192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether1
/ip ipsec peer
add address=172.28.22.140/32 comment="\C8\ED\F4\E5\EA\F6\E8\FF" enc-algorithm=3des generate-policy=port-override \
hash-algorithm=md5 secret=sssssss
add address=172.28.22.70/32 comment="\D0\EE\E4\E4\EE\EC" enc-algorithm=3des generate-policy=port-override \
hash-algorithm=md5 secret=sssssss
add address=10.129.171.10/32 comment="\CF\D2\CE" enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 \
secret=sssssss
/ip ipsec policy
set 0 disabled=yes
add comment="\C8\ED\F4\E5\EA\F6\E8\FF" dst-address=192.168.30.0/24 ipsec-protocols=ah-esp sa-dst-address=172.28.22.140 \
sa-src-address=172.28.22.10 src-address=192.168.0.0/24 tunnel=yes
add comment="\D0\EE\E4\E4\EE\EC" dst-address=192.168.20.0/24 ipsec-protocols=ah-esp sa-dst-address=172.28.22.70 \
sa-src-address=172.28.22.10 src-address=192.168.0.0/24 tunnel=yes
add comment="\CF\D2\CE" dst-address=192.168.10.0/24 ipsec-protocols=ah-esp sa-dst-address=10.129.171.10 sa-src-address=\
10.146.102.10 src-address=192.168.0.0/24 tunnel=yes
/ip proxy
set cache-path=web-proxy1
/ip route
add distance=1 gateway=172.28.22.1
add distance=1 dst-address=10.129.171.0/24 gateway=10.146.102.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
/ip upnp
set allow-disable-external-interface=no
/snmp
set trap-community=public
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MTGZ
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR
/system watchdog
set automatic-supout=no watchdog-timer=no
/tool sniffer
set filter-interface=bridge1 filter-ip-protocol=tcp


Второй роутер RB2011UiAS-RM:
Внешний: 172.28.22.70
Внутренний: адрес 192.168.20.1, сеть 192.168.20.0/24
 Конфиг второго роутера
# jan/07/1970 02:55:37 by RouterOS 6.22
# software id = IHTQ-3BMF
#
/interface bridge
add admin-mac=4C:5E:0C:50:0F:85 auto-mac=no mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=ether10-slave-local
set [ find default-name=sfp1 ] name=sfp1-gateway
/ip neighbor discovery
set ether1-gateway discover=no
set sfp1-gateway discover=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.20.100-192.168.20.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local lease-time=1w name=default
/port
set 0 name=serial0
/system logging action
set 2 remember=yes
set 3 remote=192.168.0.30 src-address=0.0.0.0
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
/ip address
add address=192.168.20.1/24 comment="default configuration" interface=bridge-local network=192.168.20.0
add address=172.28.22.70/26 interface=ether1-gateway network=172.28.22.64
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=sfp1-gateway
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-gateway
/ip dhcp-server network
add address=192.168.20.0/24 comment="default configuration" dns-server=192.168.0.252,192.168.0.51,192.168.20.1 gateway=\
192.168.20.1 ntp-server=192.168.0.252
/ip dns
set allow-remote-requests=yes servers=192.168.192.168,172.16.172.16
/ip dns static
add address=10.0.10.1 name=router
/ip firewall filter
add chain=forward comment="Allow established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=related
add chain=forward comment="Allow ICMP" protocol=icmp
add chain=input comment="Allow UDP" protocol=udp
add chain=input dst-port=500 protocol=udp
add chain=input dst-port=4500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add chain=srcnat comment="VPN \E3\EB\E0\E2\ED\FB\E9 \EA\EE\F0\EF\F3\F1" dst-address=192.168.0.0/24 src-address=\
192.168.20.0/24
add chain=srcnat comment="VPN \E8\ED\F4\E5\EA\F6\E8\FF" dst-address=192.168.30.0/24 src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway to-addresses=0.0.0.0
/ip ipsec peer
add address=172.28.22.10/32 comment="\C3\EB\E0\E2\ED\FB\E9 \EA\EE\F0." enc-algorithm=3des generate-policy=port-override \
hash-algorithm=md5 passive=yes secret=sssssss
/ip ipsec policy
set 0 disabled=yes
add comment="\C3\EB\E0\E2\ED\FB\E9 \EA\EE\F0\EF\F3\F1" dst-address=192.168.0.0/24 ipsec-protocols=ah-esp sa-dst-address=\
172.28.22.10 sa-src-address=172.28.22.70 src-address=192.168.20.0/24 tunnel=yes
/ip proxy
set cache-path=web-proxy1
/ip route
add distance=1 gateway=172.28.22.65
/ip upnp
set allow-disable-external-interface=no
/snmp
set trap-community=public
/system clock
set time-zone-name=Europe/Moscow
/system watchdog
set automatic-supout=no watchdog-timer=no
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local


Третий роутер RB2011UiAS-RM:
Внешний: 172.28.22.140
Внутренний: адрес 192.168.30.1, сеть 192.168.30.0/24
 Конфиг третьего роутера
# jan/07/1970 03:24:48 by RouterOS 6.22
# software id = DBG1-2K17
#
/interface bridge
add admin-mac=4C:5E:0C:50:0D:AC auto-mac=no mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway poe-out=off
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=\
ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=\
ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=\
ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=\
ether10-slave-local
set [ find default-name=sfp1 ] name=sfp1-gateway
/ip neighbor discovery
set ether1-gateway discover=no
set sfp1-gateway discover=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des pfs-group=\
none
/ip pool
add name=dhcp_pool1 ranges=192.168.30.100-192.168.30.200
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-local lease-time=1w \
name=dhcp1
/port
set 0 name=serial0
/system logging action
set 2 remember=yes
set 3 src-address=0.0.0.0
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
/ip address
add address=192.168.30.1/24 comment="default configuration" interface=\
bridge-local network=192.168.30.0
add address=172.28.22.140/26 interface=ether1-gateway network=172.28.22.128
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
sfp1-gateway
add comment="default configuration" dhcp-options=hostname,clientid interface=\
ether1-gateway
/ip dhcp-server network
add address=192.168.30.0/24 dns-server=\
192.168.0.252,192.168.0.51,192.168.30.1 gateway=192.168.30.1 ntp-server=\
192.168.0.252
/ip dns
set allow-remote-requests=yes servers=192.168.192.168,172.16.172.16
/ip dns static
add address=10.0.11.1 name=router
/ip firewall filter
add chain=forward comment="Allow established connections" connection-state=\
established
add chain=forward comment="Allow related connections" connection-state=\
related
add chain=forward comment="Allow icmp forwarding" protocol=icmp
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input dst-port=4500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-AH" protocol=ipsec-ah
add action=drop chain=forward comment="Drop invalid connection packets" \
connection-state=invalid
/ip firewall nat
add chain=srcnat dst-address=192.168.20.0/24 out-interface=ether1-gateway \
src-address=192.168.30.0/24
add chain=srcnat dst-address=192.168.0.0/24 out-interface=ether1-gateway \
src-address=192.168.30.0/24
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway to-addresses=0.0.0.0
/ip ipsec peer
add address=172.28.22.10/32 enc-algorithm=3des generate-policy=port-override \
hash-algorithm=md5 passive=yes secret=sssssss
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.0.0/24 ipsec-protocols=ah-esp sa-dst-address=\
172.28.22.10 sa-src-address=172.28.22.140 src-address=192.168.30.0/24 \
tunnel=yes
/ip route
add distance=1 gateway=172.28.22.129
/ip upnp
set allow-disable-external-interface=no
/snmp
set trap-community=public
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local


Пользователи сети 192.168.0.0/24 должны получать доступ к сетям 192.168.20.0/24 и 192.168.30.0/24
Пользователи сетей 192.168.20.0/24 и 192.168.30.0/24 - к 192.168.0.0/24


biggleb
Сообщения: 12
Зарегистрирован: 14 авг 2014, 20:32

Уберите галочки passive на всех роутерах для начала. Тогда инициатором сможет выступать каждый из них.

И надо разобраться с lifetime ключа и соседства. Попробуйте поменять на другие значения.


Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

Парни, гляньте, плиз, чего не хватает для полного счастья?
Installed SA есть (две строки - навстречу и обратно удаленной точке).
На одном конце pfSense. Но даже он по локальному адресу, и другие компы в его LAN net не пингуются. Словно не видит он условий в Policies , чтобы пускать пакеты в туннель.
В NAT правило 0 логируется, в логе видно, что иногда байтики растут при пинге с локалки микротика.
Со шлюза pfSense тоже на компы локальной сети микротика не идут.
Сеть микротика - 192.168.10.0/24
Сеть pfSense - 192.168.0.0/24

Я настройки в спойлер положил.
 
/ip ipsec peer
add address=XX.XX.XX.XX/32 exchange-mode=aggressive name=peer1
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024,modp768 enc-algorithm=\
aes-256,aes-128,3des nat-traversal=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-128-ctr,aes-128-gcm,3des
...
/ip address
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
add address=192.168.10.150 disabled=yes interface=ipip-tunnel_ipsec network=\
192.168.10.0
...
/ip firewall filter
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.0.0/24 log=yes log-prefix=\
------------------------------- src-address=192.168.10.0/24
add action=accept chain=input comment=udp500_accept_231 dst-port=500 \
protocol=udp src-address=XX.XX.XX.XX
add action=drop chain=input dst-port=23 in-interface=pppoe-out1 log-prefix=\
drop_tcp_23 protocol=tcp
add action=drop chain=input dst-port=22 in-interface=pppoe-out1 log-prefix=\
drop_ssh protocol=tcp
add action=accept chain=input comment=ipsec-ah_accept_231 protocol=ipsec-ah \
src-address=XX.XX.XX.XX
add action=accept chain=input comment=ipsec-esp_accept_231 protocol=ipsec-esp \
src-address=XX.XX.XX.XX
add action=accept chain=input
add action=accept chain=forward
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add chain=input comment="Allow UDP" protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
/ip firewall nat
add action=accept chain=srcnat comment=home_to_pfsense dst-address=\
192.168.0.0/24 log=yes log-prefix=home_to_pfsense dst
...
/ip ipsec identity
add generate-policy=port-override peer=peer1 secret=\
***********
/ip ipsec policy
set 0 disabled=yes dst-address=192.168.0.0/24 src-address=192.168.10.0/24
add dst-address=192.168.0.0/24 src-address=192.168.10.0/24 template=yes
/system clock
set time-zone-name=Europe/Moscow


Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

Пускаю пинг с локалки микротика -
в НАТ (правило 0 )пробегает 1 пакетик,

А вот эти
/ip firewall filter
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.0.0/24
- тут вообще тишина, байты как были 0, так и остались. Т.е. пакеты в туннель не идут, видимо.


Ответить