Добрый день!
Столкнулся с проблемой: на CCR1036 поднял IpSec туннель. Туннель вроде поднялся, а пакеты в него не "заходят". Судя по логам - они пытаются выйти по default gateway. На маршрутизаторе несколько провайдеров, IpSec воднят не на основном провайдере.
В чём может быть проблема?
В IpSec не "заходят" пакеты
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Ну так пропишите требуемый маршрут руками.
-
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
А что в качестве шлюза прописать? Ведь IpSec в Mikrotik не "формирует" интерфейс?
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
IP адрес реального шлюза, например, встречного микротика.
-
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
Это нечего не даёт: данные начинаю идти всё равно мимо туннеля, напрямую в порт WAN.
PS. с другой стороны D-Link
PS. с другой стороны D-Link
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Так не бывает.
Если туннель (любой) поднят правильно, то у него своя IP адресация, никак не пересекающаяся с публичными адресами.
А значит при правильно прописанном ROUTE нужные пакеты пойдут туда куда надо.
Не забудьте, что маршруты нужно прописывать с обеих сторон.
С другой стороны очень желательно тоже микротик поставить.
Если туннель (любой) поднят правильно, то у него своя IP адресация, никак не пересекающаяся с публичными адресами.
А значит при правильно прописанном ROUTE нужные пакеты пойдут туда куда надо.
Не забудьте, что маршруты нужно прописывать с обеих сторон.
С другой стороны очень желательно тоже микротик поставить.
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Давеча поднимали IPSec с циской, асашкой, оно конечно работает, но таких костылей нагородили, что самим страшно. И аналогично, через сам туннель ничего не ходит, но при этом все работает. Для теста поднимали с другим микротиком, там все по честному, как положено, без костылей и плясок, а вот с асашкой какой то ужас, правда на другом конце был человек, который как и мы, этот IPSec на цыске только через встроенный визард и мог натыкать и ни шагу в сторону.
-
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
gmx писал(а):Так не бывает.
Если туннель (любой) поднят правильно.
А значит при правильно прописанном ROUTE нужные пакеты пойдут туда куда надо.
Не забудьте, что маршруты нужно прописывать с обеих сторон.
С другой стороны очень желательно тоже микротик поставить.
Что значит "правильно"? Туннель поднят, а пакеты не ходят. Разве при поднятии туннеля маршрут не добавляется автоматически?
Хотя на вкладе Installed SAs два SPI: по одному идут пакет, а по другому нет. Может в этом проблема? И если да, то как её решить?
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Маршрут автоматически может не подниматься, а также может подниматься только на один IP адрес (тот который у микротика и длинка), а не на диапазон. Все зависит от сложности сети и текущей таблицы маршрутизации. В любом случае маршрутизацию придется руками контролировать, причем с обеих сторон, другого способа нет. Сдается мне, что длинк никакой маршрут сам не добавил и ничего не знает про вашу часть сети, поэтому ничего не идет по второму каналу.
У вас два варианта: ставить вместо длинка тоже микротик и все будет летать или поднимать тоннель по-проще. Длинк умеет простейший pptp???
Почему надо обязательно IPsec??? Но и с pptp тоже маршруты придется руками прописывать с двух сторон!
Вот вам пример, он правда не про IPsec, но наглядно показывает, что микротик не всегда все делает сам, да он и не должен.
Микротик сам добавил нижнюю строчку, но этого не достаточно, это только на текущую подсеть, я сам руками добавил верхнюю.
Да, вот еще что, поиграйтесь с параметром Arp, на интерфейсам, которые смотрят в локальную сеть, рекомендуется ставить arp-proxy. Я до сих пор толком не знаю, что именно делает микротик в таком случае, он как-то должен расширенно сканировать сеть на предмет локальных адресов, но описание на английском и довольно мутное, на мой взгляд, но часто изменение этого параметра помогает.
ЗЫ. Столько лет сетями занимаюсь, но никогда бы не взялся объединять длинк с микротиком, первое условие - выбросить длинк, какой бы он красивый и дорогой не был. И дело не в том, что это именно Длинк (!!!), а даже скорее в том, что кроме меня и микротика, нужен еще спец и по Длинку, который хорошо ориентируется в сетях и знает возможности длинка. Уверен, что мост длинк-длинк заработал бы легко и быстро. Последние поделки длинка, что я видел, не так уж и плохи, правда стек из трех коммутаторов заводился с большими проблемами, матом, звонками в техподежку, перепрошивками...
У вас два варианта: ставить вместо длинка тоже микротик и все будет летать или поднимать тоннель по-проще. Длинк умеет простейший pptp???
Почему надо обязательно IPsec??? Но и с pptp тоже маршруты придется руками прописывать с двух сторон!
Вот вам пример, он правда не про IPsec, но наглядно показывает, что микротик не всегда все делает сам, да он и не должен.
Микротик сам добавил нижнюю строчку, но этого не достаточно, это только на текущую подсеть, я сам руками добавил верхнюю.
Да, вот еще что, поиграйтесь с параметром Arp, на интерфейсам, которые смотрят в локальную сеть, рекомендуется ставить arp-proxy. Я до сих пор толком не знаю, что именно делает микротик в таком случае, он как-то должен расширенно сканировать сеть на предмет локальных адресов, но описание на английском и довольно мутное, на мой взгляд, но часто изменение этого параметра помогает.
ЗЫ. Столько лет сетями занимаюсь, но никогда бы не взялся объединять длинк с микротиком, первое условие - выбросить длинк, какой бы он красивый и дорогой не был. И дело не в том, что это именно Длинк (!!!), а даже скорее в том, что кроме меня и микротика, нужен еще спец и по Длинку, который хорошо ориентируется в сетях и знает возможности длинка. Уверен, что мост длинк-длинк заработал бы легко и быстро. Последние поделки длинка, что я видел, не так уж и плохи, правда стек из трех коммутаторов заводился с большими проблемами, матом, звонками в техподежку, перепрошивками...
-
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
gmx писал(а):У вас два варианта: ставить вместо длинка тоже микротик и все будет летать или поднимать тоннель по-проще. Длинк умеет простейший pptp???
Почему надо обязательно IPsec??? Но и с pptp тоже маршруты придется руками прописывать с двух сторон!
Да, вот еще что, поиграйтесь с параметром Arp, на интерфейсам, которые смотрят в локальную сеть, рекомендуется ставить arp-proxy. Я до сих пор толком не знаю, что именно делает микротик в таком случае, он как-то должен расширенно сканировать сеть на предмет локальных адресов, но описание на английском и довольно мутное, на мой взгляд, но часто изменение этого параметра помогает.
ЗЫ. Столько лет сетями занимаюсь, но никогда бы не взялся объединять длинк с микротиком, первое условие - выбросить длинк, какой бы он красивый и дорогой не был. И дело не в том, что это именно Длинк (!!!), а даже скорее в том, что кроме меня и микротика, нужен еще спец и по Длинку, который хорошо ориентируется в сетях и знает возможности длинка. Уверен, что мост длинк-длинк заработал бы легко и быстро. Последние поделки длинка, что я видел, не так уж и плохи, правда стек из трех коммутаторов заводился с большими проблемами, матом, звонками в техподежку, перепрошивками...
Не планировали менять всю сеть, а только с центральном офисе. С D-Link-ами проблем не было - туннель создан был за 5 минут и работал годами. А в связке с Микротиком проблемы... При создании туннеля не показывает ошибок, но и не работает...
Сейчас как-то проскочило 600 байт, но я не заметил при каких условиях это получилось ...