Требуется объединить две сетки с помощью IPSec на роутерах Mikrotik.
Исходные данные:
Есть две сети, соединенные через инет.
С одной стороны Mikrotik RB2011UiAS-2HnD, c другой - Mikrotik 951G-2HnD. На обоих RouterOS 6.18.
Оба с белыми внешними IP. Один выходит в сеть через локалку провайдера, другой по PPPoE (если это важно).
IPIP тоннель.
Абсолютно "самодостаточный" тоннель, никак не пересекающийся с IPSec.
Настраивается просто: создается тоннель между двумя роутерами и прописывается правило маршрутизации.
Достаточно прописать всего два правила, больше ничего делать не требуется.
В результате получим работающий туннель без шифрования.
Первая сетка:
RB2011UiAS-2HnD - 192.168.0.1
LAN - 192.168.0.0/24
WAN - 109.xxx.xxx.18 на 10 порту
Вторая сетка:
951G-2HnD - 10.20.0.1
LAN - 10.20.0.0/24
WAN - 95.xxx.xxx.78 на 1 порту
IPSec.
В микротике это тоже абсолютно "самодостаточный" тоннель, которому не требуется в качестве основы ни IPIP, ни PPPoe, ни любой другой тоннель.
Оговорюсь, что настраивать IPSec мы будем именно в туннельном режиме, не в транспортном (разницу обзорно можно почитать тут http://wiki.mikrotik.com/wiki/Manual:IP/IPsec).
Если вы уже настроили IPIP тоннель по правилам выше, удалите или отключите эти правила.
Итак, приступим.
1. Сначала настроим правила firewall. Вкладка IP - Firewall - Filter rules.
Настройка firewall обоих роутеров будет одинаковой.
2. Настроим соединение между рооутерами (соседство). Вкладка IP - IPSec - Peers.
Это правило будет отвечать за 1 фазу IPSec туннеля - приветствие.
Обратите внимание, что только один роутер выступает инициатором авторизации (только на одном роутере стоит галочка passive, без разницы на каком), при этом IPSec будет подниматься только одной стороной, стороной активной (без галочки passive). Это удобно когда достаточно одностороннего доступа, например, удаленный офис соединяется с центральным (роутер центрального офиса в режиме passive). Это отнюдь не значит, что удаленный доступ будет только в одном направлении, доступ будет в обоих направлениях, но только после того, как "активный" роутер инициирует поднятие IPSec, в рамках времени жизни ключа шифрования lifetime (след. пункт).
Чтобы иметь возможность поднимать IPSec с обеих сторон, убираем галочки passive у обоих роутеров.
Обязательно ставим галочку на обоих роутерах NAT traversal, для трансляции адресов из одной подсети в другую.
3. Настроим политику приветствия. Вкладка IP - IPSec - Proposals.
Приветствие в обоих роутерах должно быть настроены одинаково.
Не важно какие алгоритмы авторизации и шифрования вы выберите, лишь бы они были одинаковыми.
Обратите внимание на lifetime - время жизни ключа шифрования (второй фазы), оно может быть любым, но обязательно меньше lifetime соседства (вкладка IP - IPSec - Peer) - время жизни ключа приветствия (первая фаза).
После настройки этих правил на вкладке IP - IPSec - Remote peers должна появиться строчка с адресами локального и удаленного роутера.
Если она появилась, значит вы все делаете правильно.
4. Настроим политику шифрования. Вкладка IP - IPSec - Policies.
Если вы все делали правильно, в этой вкладке появится правило по умолчанию. Его нужно обязательно отключить в обоих роутерах. В правиле default нет возможности создать туннельный IPSec, а именно он нам и нужен.
Создадим новое правило.
На обоих роутерах ставим галочку Tunnel - это и есть режим туннеля в IPSec.
На этом настройка IPSec закончена.
IPSec будет находится "в режиме ожидания" пока вы не инициируете подключение к удаленной подсети или пингом, или любым другим обращением.
Пропингуем из первой подсети внутренний адрес удаленного роутера (из подсети 192.168.0.0 ping 10.20.0.1). В результате во вкладке IP - IPSec - Installed SAs обоих роутеров должны появиться четыре строчки с ключами авторизации и шифрования. Пинг может пройти не с первого раза, но если вы все делали по инструкции, соединение установится, четыре строчки появятся. Т.е. IPSec тоннель заработает.
Проверим соединение.
Сделаем трассировку из первой подсети во вторую.
Видим что соединение есть, тоннель работает, только наши пакеты доходят только до удаленного роутера и там начинают блуждать. Остается помочь найти им дорогу, настроить маршруты.
5. Настроим маршрутизацию. Вкладка IP - Firewall - NAT.
Это правило должно быть обязательно выше правила маскарадинга локальной сети.
Можно поставить его первым (просто перетащить мышкой вверх).
На этом настройка тоннеля полностью закончена, тоннель должен работать, доступ к удаленным ПК по внутренним IP должен работать.
Финальная проверка.
Сделаем трассировку из первой подсети во вторую.
Всё работает!
Всем приятного соседства!
IPIP, IPSec между двумя сетями через инет ("для чайников")
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Я не знаю точно, но у меня не получалось сделать видимыми компы в сетевом окружении, если их адреса не принадлежат к одному диапазону. Кто-то говорил о бестолковости Винды, кто-то о моей недалекости, но реальных рецептов я не нашел...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 74
- Зарегистрирован: 05 июн 2014, 00:24
Широкоизвестный в узких кругах Сааб95 на эту тему где-то писал, что надо включить ARP-proxy
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Во, спасибо! Надо будет попробовать...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
http://wiki.mikrotik.com/wiki/Russian/%D0%9E%D0%B1%D1%8A%D0%B5%D0%B4%D0%B8%D0%BD%D1%8F%D0%B5%D0%BC_%D0%BE%D1%84%D0%B8%D1%81%D1%8B_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_Mikrotik
В этой статейке при настройке роутерам зачем-то присваивают виртуальные IP-адреса. Может быть извратиться и написать какой-нить скрипт для DHCP, выдающий новые IP из виртуальной подсети, при установлении VPN туннеля...
Ну да я не об этом.
Помогите хоть IPSec поднять до конца и маршруты правильно прописать. Мне бы хоть тут с места сдвинуться...
В этой статейке при настройке роутерам зачем-то присваивают виртуальные IP-адреса. Может быть извратиться и написать какой-нить скрипт для DHCP, выдающий новые IP из виртуальной подсети, при установлении VPN туннеля...
Ну да я не об этом.
Помогите хоть IPSec поднять до конца и маршруты правильно прописать. Мне бы хоть тут с места сдвинуться...
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Если речь идёт о виндовой шаре, то винда специально не отображает компы, которые принадлежат к другой сети. Мелкософтовские разработчики посчитали что это должно быть так...
И тут ничего поделать, совершенно.
Единственное что возможно, это создавать ярлыки и обращаться по IP..
И тут ничего поделать, совершенно.
Единственное что возможно, это создавать ярлыки и обращаться по IP..
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
Хорошо. Пусть сетевое окружение останется локальным, раз уж мелкие так решили...
Не получается IPSec поднять.
Не получается IPSec поднять.
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
IPSec к сожалению не ко мне... Ни разу не делал, но на повестке недели предстоит, буду на ходу разбираться...
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
IPIP туннель нормально поднимается.
И пинги идут, и к удаленным компам по внутренним IP доступ есть.
Тут двух правил достаточно с каждой стороны.
А вот IPSec вообще не заводится. Судя по логам, могу предположить, что 1 фазу роутики проходят, а вот на второй - ступор.
Не пойму почему.
На вкладке ip ipsec remote-peers коннект есть, а в ip ipsec installed-sa пустота
Честно говоря, смутно понимаю, в каком вообще месте IPSec к IPIP-туннелю прикручивается, явных ссылок на него при настройке IPSec нет нигде.
И пинги идут, и к удаленным компам по внутренним IP доступ есть.
Тут двух правил достаточно с каждой стороны.
А вот IPSec вообще не заводится. Судя по логам, могу предположить, что 1 фазу роутики проходят, а вот на второй - ступор.
Не пойму почему.
На вкладке ip ipsec remote-peers коннект есть, а в ip ipsec installed-sa пустота
Честно говоря, смутно понимаю, в каком вообще месте IPSec к IPIP-туннелю прикручивается, явных ссылок на него при настройке IPSec нет нигде.
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32