IPIP, IPSec между двумя сетями через инет ("для чайников")

Обсуждение ПО и его настройки
biggleb
Сообщения: 12
Зарегистрирован: 14 авг 2014, 20:32

Трассировка маршрута из подсети 10.20.0.0 к компу 192.168.0.200 дала следующую картинку:

C:> tracert 192.168.0.200
1 1 ms 1 ms 1 ms 10.20.0.1 (ближний роутер, локальный IP)
2 36 ms 36 ms 36 ms 109.xxx.xxx.18 (дальний роутер, внешний IP)
3 * * * Превышен интервал ожидания для запроса.

Т.е. начинает идти по правильному маршруту, доходит до удаленного роутера и теряется...


biggleb
Сообщения: 12
Зарегистрирован: 14 авг 2014, 20:32

Разобрался со всем.
Всё заработало.
Полностью переписал стартовый пост, сделал из него мануал для "чайников".
Постарался максимально подробно простым языком описать весь процесс настройки.

Всем удачи!


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Где мануал? Ссылочку в студию, если не жалко...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
biggleb
Сообщения: 12
Зарегистрирован: 14 авг 2014, 20:32

Стартовый пост и есть мануал.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ок, скопировал тему в Готовые конфгурации. Ща там срежу всё обсуждение, получится именно мануал... Спасибо за проделанную работу.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
serrom
Сообщения: 7
Зарегистрирован: 17 сен 2014, 13:35

Здравствуйте!

Помогите решить проблему:

1. Суть проблемы:
Есть 2 роутера, настройки ниже. У обоих с внешней стороны ip-шники из "серых" сетей, через nat провайдера выходят в инет. Роутеры видят друг друга по внешним интерфейсам eth1. За каждым из роутеров - nat, сетка 192.168.0/24 за первым, 192.168.20.0/24 за вторым. Поднимаю IPSec согласно инструкции. В результате - вначале получил странную ситуацию, что канал устанавливается как бы односторонний - даю ping с ip за первым роутером на ip за вторым роутером - результата нет. Наоборот (с ip за вторым на Ip за первым) - есть, после этого появляется и пинг в обратную сторону. Помимо этого могу (как в одну сторону так и в другую) пропинговать только часть хостов, хотя изнутри они пингуются. Как бы сделать так, чтобы можно было связаться со всеми адресами как в одну так и в другую сторону?
2. Предпринял изменение алгоритмов шифрования (сделал как в этом мануале, вначале было по-другому) - первая часть проблемы вроде исчезла, вторая осталась. По-прежнему вижу только часть компов как с одной так и с другой стороны.
3. Конфиги:
 Это тег спойлера, я вставил код в него, что-бы не создавать огромные сообщения

Код: Выделить всё

[admin@MTGZ] > /export compact
# jan/09/1970 22:26:00 by RouterOS 6.10
# software id = VN4T-YXGI
#
/interface bridge
add l2mtu=1588 name=bridge1
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
    mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des pfs-group=\
    none
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
/ip address
add address=192.168.0.11/24 interface=bridge1 network=192.168.0.0
add address=172.28.22.10/26 interface=ether1 network=172.28.22.0
add address=10.146.102.10/24 interface=ether2 network=10.146.102.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dns
set allow-remote-requests=yes servers=192.168.192.168,172.16.172.16
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=forward comment="Allow established connections" connection-state=\
    established
add chain=forward comment="Allow related connections" connection-state=\
    related
add chain=forward comment="Allow ICMP forwarding" protocol=icmp
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input comment="Allow IKE" dst-port=4500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=drop chain=forward comment="Drop invalid connection packets" \
    connection-state=invalid
/ip firewall nat
add chain=srcnat comment="\CF\D2\CE" dst-address=192.168.10.0/24 src-address=\
    192.168.0.0/24
add chain=srcnat comment="\D0\EE\E4\E4\EE\EC" dst-address=192.168.20.0/24 \
    src-address=192.168.0.0/24
add chain=srcnat comment="\C8\ED\F4\E5\EA\F6\E8\FF" dst-address=\
    192.168.30.0/24 out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether1
/ip ipsec peer
add address=172.28.22.140/32 comment="\C8\ED\F4\E5\EA\F6\E8\FF" \
    enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 \
    nat-traversal=yes secret=qaszser
add address=172.28.22.70/32 comment="\D0\EE\E4\E4\EE\EC" enc-algorithm=3des \
    generate-policy=port-override hash-algorithm=md5 nat-traversal=yes \
    secret=qaszser
add address=10.129.171.10/32 comment="\CF\D2\CE" enc-algorithm=3des \
    generate-policy=port-override hash-algorithm=md5 nat-traversal=yes \
    secret=qaszser
/ip ipsec policy
add comment="\C8\ED\F4\E5\EA\F6\E8\FF" dst-address=192.168.30.0/24 \
    ipsec-protocols=ah-esp sa-dst-address=172.28.22.140 sa-src-address=\
    172.28.22.10 src-address=192.168.0.0/24 tunnel=yes
add comment="\D0\EE\E4\E4\EE\EC" dst-address=192.168.20.0/24 ipsec-protocols=\
    ah-esp sa-dst-address=172.28.22.70 sa-src-address=172.28.22.10 \
    src-address=192.168.0.0/24 tunnel=yes
add comment="\CF\D2\CE" dst-address=192.168.10.0/24 ipsec-protocols=ah-esp \
    sa-dst-address=10.129.171.10 sa-src-address=10.146.102.10 src-address=\
    192.168.0.0/24 tunnel=yes
/ip route
add distance=1 gateway=172.28.22.1
add distance=1 dst-address=10.129.171.0/24 gateway=10.146.102.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
/ip upnp
set allow-disable-external-interface=no
/system identity
set name=MTGZ
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR
/tool sniffer
set filter-interface=bridge1 filter-ip-protocol=tcp
[admin@MTGZ] >

---------------------

[admin@MikroTik] > /export compact
# jan/03/1970 03:02:55 by RouterOS 6.7
# software id = IHTQ-3BMF
#
/interface bridge
add admin-mac=4C:5E:0C:50:0F:85 auto-mac=no l2mtu=1598 name=bridge-local \
    protocol-mode=rstp
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=\
    ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=\
    ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=\
    ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=\
    ether10-slave-local
set [ find default-name=sfp1 ] name=sfp1-gateway
/ip neighbor discovery
set ether1-gateway discover=no
set sfp1-gateway discover=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
    mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des pfs-group=\
    none
/ip pool
add name=default-dhcp ranges=192.168.20.10-192.168.20.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local lease-time=\
    10m name=default
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
/ip address
add address=192.168.20.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.20.0
add address=172.28.22.70/26 interface=ether1-gateway network=172.28.22.64
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    sfp1-gateway
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    ether1-gateway
/ip dhcp-server network
add address=192.168.20.0/24 comment="default configuration" dns-server=\
    192.168.20.1 gateway=192.168.20.1
/ip dns
set allow-remote-requests=yes servers=192.168.192.168,172.16.172.16
/ip dns static
add address=10.0.10.1 name=router
/ip firewall filter
add chain=forward comment="Allow established connections" connection-state=\
    established
add chain=forward comment="Allow related connections" connection-state=\
    related
add chain=forward comment="Allow ICMP" protocol=icmp
add chain=input comment="Allow UDP" protocol=udp
add chain=input dst-port=500 protocol=udp
add chain=input dst-port=4500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=\
    yes out-interface=sfp1-gateway
add chain=srcnat comment="VPN \E3\EB\E0\E2\ED\FB\E9 \EA\EE\F0\EF\F3\F1" \
    dst-address=192.168.0.0/24 src-address=192.168.20.0/24
add chain=srcnat comment="VPN \E8\ED\F4\E5\EA\F6\E8\FF" dst-address=\
    192.168.30.0/24 src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway to-addresses=0.0.0.0
/ip ipsec peer
add address=172.28.22.10/32 comment="\C3\EB\E0\E2\ED\FB\E9 \EA\EE\F0." \
    enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 \
    nat-traversal=yes secret=qaszser
add address=172.28.22.140/32 comment="\C8\ED\F4\E5\EA\F6\E8\FF" \
    enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 \
    nat-traversal=yes secret=qaszser
/ip ipsec policy
add comment="\C3\EB\E0\E2\ED\FB\E9 \EA\EE\F0\EF\F3\F1" dst-address=\
    192.168.0.0/24 ipsec-protocols=ah-esp sa-dst-address=172.28.22.10 \
    sa-src-address=172.28.22.70 src-address=192.168.20.0/24 tunnel=yes
add comment="\C8\ED\F4\E5\EA\F6\E8\FF" dst-address=192.168.30.0/24 \
    ipsec-protocols=ah-esp sa-dst-address=172.28.22.140 sa-src-address=\
    172.28.22.70 src-address=192.168.20.0/24 tunnel=yes
/ip route
add distance=1 gateway=172.28.22.65
/lcd interface
set sfp1-gateway interface=sfp1-gateway
set ether1-gateway interface=ether1-gateway
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6-master-local interface=ether6-master-local
set ether7-slave-local interface=ether7-slave-local
set ether8-slave-local interface=ether8-slave-local
set ether9-slave-local interface=ether9-slave-local
set ether10-slave-local interface=ether10-slave-local
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local
[admin@MikroTik] >


4. Да,ознакомлен, не нашел.

ред. Dragon_Knight


biggleb
Сообщения: 12
Зарегистрирован: 14 авг 2014, 20:32

Если часть пингуется, часть нет, то это больше похоже на политику безопасности ОСей на каждом компе. Особо чрезмерной безопасностью грешат 7-ки и 8-ки. И все это именно из-за удаленности. Серость IP тут ни при чем.

Ну а по поводу одностороннего поднятия IPSec, есть такой момент.
Могу лишь предположить, что он связан с тем, что только один роутик выступает инициатором (вкладка /ip ipsec peer, галочка Passive).
В качестве эксперимента можно убрать галочки у обоих роутеров.


serrom
Сообщения: 7
Зарегистрирован: 17 сен 2014, 13:35

Относительно политики безопасности на компах пользователей - проверю.
Дело в том, что с самого роутера они пингуются, не пингуются из удаленной сети. Сомневаюсь... хотя может быть.
Попробую настроить IPIP туннель вместо ipsec - если и там тоже самое повторится, значит вероятно политика безопасности, если будет работать - значит что-то с ipsec.

Про галочки - дело в том, что на моей версии прошивки этих галочек нет. Может быть все дело в том, что надо ее обновить - и автоматически исправится первая проблема?


serrom
Сообщения: 7
Зарегистрирован: 17 сен 2014, 13:35

Все, разобрался. Действительно - политика безопасности на локальных машинах.


Аватара пользователя
pubuser
Сообщения: 62
Зарегистрирован: 14 мар 2014, 18:14

В точности сделал все как написано в первом посту. Объединил 2 подсети находящиеся за роутерами - все работает! Но в первом посту небольшое есть упущение - чтобы с компа из любой локалки пинговался любой другой комп в другой локалке, нужно руками прописать к нужной подсети роут (упомянутого "верхнего" правила NAT не хватает для этого, с ним хосты локалок пингуются только из роутеров) и гейтвеем назначить либо мастер порт свитча, либо бридж куда соединены LAN порты роутера.

Есть вопросик - соединил по городской локалке два роутера таким способом, только у одного из них есть выход в инет по L2TP. У второго нету. Каким образом можно получить второму интернет от первого? Пробовал на втором прописать роут 0.0.0.0/0 и шлюзом указать адрес роутера с интернетом - не работает( Кто так настраивал, подскажите плз решение?


Ответить