В IpSec не "заходят" пакеты

Обсуждение ПО и его настройки
saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Добрый день!
Столкнулся с проблемой: на CCR1036 поднял IpSec туннель. Туннель вроде поднялся, а пакеты в него не "заходят". Судя по логам - они пытаются выйти по default gateway. На маршрутизаторе несколько провайдеров, IpSec воднят не на основном провайдере.
В чём может быть проблема?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну так пропишите требуемый маршрут руками. :sh_ok:


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

А что в качестве шлюза прописать? Ведь IpSec в Mikrotik не "формирует" интерфейс?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

IP адрес реального шлюза, например, встречного микротика.


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Это нечего не даёт: данные начинаю идти всё равно мимо туннеля, напрямую в порт WAN.

PS. с другой стороны D-Link


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Так не бывает.

Если туннель (любой) поднят правильно, то у него своя IP адресация, никак не пересекающаяся с публичными адресами.
А значит при правильно прописанном ROUTE нужные пакеты пойдут туда куда надо.
Не забудьте, что маршруты нужно прописывать с обеих сторон.


С другой стороны очень желательно тоже микротик поставить.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Давеча поднимали IPSec с циской, асашкой, оно конечно работает, но таких костылей нагородили, что самим страшно. И аналогично, через сам туннель ничего не ходит, но при этом все работает. Для теста поднимали с другим микротиком, там все по честному, как положено, без костылей и плясок, а вот с асашкой какой то ужас, правда на другом конце был человек, который как и мы, этот IPSec на цыске только через встроенный визард и мог натыкать и ни шагу в сторону.


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

gmx писал(а):Так не бывает.

Если туннель (любой) поднят правильно.
А значит при правильно прописанном ROUTE нужные пакеты пойдут туда куда надо.
Не забудьте, что маршруты нужно прописывать с обеих сторон.

С другой стороны очень желательно тоже микротик поставить.


Что значит "правильно"? Туннель поднят, а пакеты не ходят. Разве при поднятии туннеля маршрут не добавляется автоматически?
Хотя на вкладе Installed SAs два SPI: по одному идут пакет, а по другому нет. Может в этом проблема? И если да, то как её решить?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Маршрут автоматически может не подниматься, а также может подниматься только на один IP адрес (тот который у микротика и длинка), а не на диапазон. Все зависит от сложности сети и текущей таблицы маршрутизации. В любом случае маршрутизацию придется руками контролировать, причем с обеих сторон, другого способа нет. Сдается мне, что длинк никакой маршрут сам не добавил и ничего не знает про вашу часть сети, поэтому ничего не идет по второму каналу.

У вас два варианта: ставить вместо длинка тоже микротик и все будет летать или поднимать тоннель по-проще. Длинк умеет простейший pptp???
Почему надо обязательно IPsec??? Но и с pptp тоже маршруты придется руками прописывать с двух сторон!


Вот вам пример, он правда не про IPsec, но наглядно показывает, что микротик не всегда все делает сам, да он и не должен.
Изображение

Микротик сам добавил нижнюю строчку, но этого не достаточно, это только на текущую подсеть, я сам руками добавил верхнюю.

Да, вот еще что, поиграйтесь с параметром Arp, на интерфейсам, которые смотрят в локальную сеть, рекомендуется ставить arp-proxy. Я до сих пор толком не знаю, что именно делает микротик в таком случае, он как-то должен расширенно сканировать сеть на предмет локальных адресов, но описание на английском и довольно мутное, на мой взгляд, но часто изменение этого параметра помогает.


ЗЫ. Столько лет сетями занимаюсь, но никогда бы не взялся объединять длинк с микротиком, первое условие - выбросить длинк, какой бы он красивый и дорогой не был. И дело не в том, что это именно Длинк (!!!), а даже скорее в том, что кроме меня и микротика, нужен еще спец и по Длинку, который хорошо ориентируется в сетях и знает возможности длинка. Уверен, что мост длинк-длинк заработал бы легко и быстро. Последние поделки длинка, что я видел, не так уж и плохи, правда стек из трех коммутаторов заводился с большими проблемами, матом, звонками в техподежку, перепрошивками...


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

gmx писал(а):У вас два варианта: ставить вместо длинка тоже микротик и все будет летать или поднимать тоннель по-проще. Длинк умеет простейший pptp???
Почему надо обязательно IPsec??? Но и с pptp тоже маршруты придется руками прописывать с двух сторон!

Да, вот еще что, поиграйтесь с параметром Arp, на интерфейсам, которые смотрят в локальную сеть, рекомендуется ставить arp-proxy. Я до сих пор толком не знаю, что именно делает микротик в таком случае, он как-то должен расширенно сканировать сеть на предмет локальных адресов, но описание на английском и довольно мутное, на мой взгляд, но часто изменение этого параметра помогает.


ЗЫ. Столько лет сетями занимаюсь, но никогда бы не взялся объединять длинк с микротиком, первое условие - выбросить длинк, какой бы он красивый и дорогой не был. И дело не в том, что это именно Длинк (!!!), а даже скорее в том, что кроме меня и микротика, нужен еще спец и по Длинку, который хорошо ориентируется в сетях и знает возможности длинка. Уверен, что мост длинк-длинк заработал бы легко и быстро. Последние поделки длинка, что я видел, не так уж и плохи, правда стек из трех коммутаторов заводился с большими проблемами, матом, звонками в техподежку, перепрошивками...


Не планировали менять всю сеть, а только с центральном офисе. С D-Link-ами проблем не было - туннель создан был за 5 минут и работал годами. А в связке с Микротиком проблемы... При создании туннеля не показывает ошибок, но и не работает...
Сейчас как-то проскочило 600 байт, но я не заметил при каких условиях это получилось ...


Ответить