Dfl и Микротик IpSec

Обсуждение ПО и его настройки
Ответить
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Здравствуйте !

настроил Ipsec Между DFL и микротик . на стороне микротика получилось следующее

Код: Выделить всё

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5,sha1 enc-algorithms=des \
    lifetime=1h pfs-group=none
/ip ipsec peer
add address=10.251.167.225/32 enc-algorithm=des hash-algorithm=md5 secret=\
    123456789
/ip ipsec policy
add dst-address=10.10.17.0/24 sa-dst-address=10.251.167.225 sa-src-address=\
    10.251.196.103 src-address=10.10.30.0/24 tunnel=yes


правила

Код: Выделить всё

/ip firewall nat
add chain=srcnat dst-address=10.10.17.0/24 priority=0 protocol=tcp \
    src-address=10.10.30.0/24
add chain=srcnat dst-address=10.10.30.0/24 protocol=tcp src-address=\
    10.10.17.0/24
add action=masquerade chain=srcnat out-interface=lte1 src-address=\
    10.10.30.0/24


На выходе из туннеля (сторона DFL ) ICMP вижу до хостов .
пробую стукнутся по 80 порту - нету , даже не вижу на выходе эти запросы.

куда делись ?!

и попутно еще один вопрос.
как отмаршрутизировать в туннель другие подсети ?! например если у меня за DFL есть еще сеть ?!
как отправить все туда , в туннель , имеется ввиду ? Не нашел как написать маршруты . Нет ни какого интерфейса IpSec.

Как например сказать что IpSec c адресами на концах 0.0.0.0/0 ? а потом маршрутами , и правилами рулить трафик , ну опять же таки нет интефейса Ipsec ?

да и почему с самого микротика не пингуется удаленная сеть ?!


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все это делается через IP - Routes. Направляйте нужные вам подсети в соответствующий шлюз.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

gmx писал(а):Все это делается через IP - Routes. Направляйте нужные вам подсети в соответствующий шлюз.

Шлюз какой ? удаленный на стороне DFL ?
так он не пингуется с микротика


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Как бы это было, если было бы два микротика:



Микротик А 192.168.1.1 > VPN 10.0.0.1 >>>>>> интернет >>>>>>> VPN 10.0.0.2 > Микротик Б 192.168.5.1

Тогда на Микротике А было бы
route 192.168.5.0/24 10.0.0.2

На Микротике Б было бы
route 192.168.1.0/24 10.0.0.1

Причем на Микротиках можно в качестве шлюза указывать не IP, а имя интерфейса VPN, но можно и IP.

Почему DFL не пингуется?? Не знаю, может быть это нужно включать на нем??? Скорее всего отключены пинги со стороны интерфейса WAN.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Про маршруты - да , если использовать PPtp\l2tp там все срастается.
пробелем нет .
а вот где интерфейс Ipsec ?

Код: Выделить всё

[admin@MikroTik] > interface print 
Flags: D - dynamic, X - disabled, R - running, S - slave
 #     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU
 0  R  ether1                              ether            1500
 1  R  ether2                              ether            1500
 2  R  ether3                              ether            1500
 3  R  lte1                                lte              1500


какой из них Ipsec ?

DFL не пингуется с микротика , поэтому микротик и говорит что шлюз не доступен, хотя DFL успешно пингуется с машин за микротиком
[admin@MikroTik] > C:\Users\root>ping 10.10.17.1 -t

Обмен пакетами с 10.10.17.1 по с 32 байтами данных:
Ответ от 10.10.17.1: число байт=32 время=3мс TTL=254
Ответ от 10.10.17.1: число байт=32 время=1мс TTL=254


что не так ?
И почему не проходят http запросы ? Почему ни чего кроме ICMP не проходит от микротика в сторону DFL ?
В туннеле на стороне DFL не вижу даже этих запросов.

ткните, где у меня не верно.....

gmx писал(а):Как бы это было, если было бы два микротика:

ну оборудование одного вендора всегда без бубнов вяжется.

могу предоситавить доступ . кто прояснит ситуацию (рабочих мануалов я так на просторах интернета и не нашел)


carassin
Сообщения: 49
Зарегистрирован: 24 сен 2013, 16:24

давайте доступ... хоть с dfl давно уже дел не имею, но может и подскажу...

и кстати с микрота не пингуется возможно потому что не указывается интерфейс (ping interface=интерфейс-локальной-сети) или чтобы постоянно не указывать можно добавить маршрут


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

С DFL Проблем нет , вообще ни каких ...
Тимка в личке


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Могу сделать туннель с кем то . кто прояснит ситуацию.
кидайте в личку желающие .


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

я не знаю что ... но рестарт DFL я привел к работе как надо ....
вопрос закрыт .

особый респект товарищу carassin . который помог в изучении проблемы.


MML
Сообщения: 1
Зарегистрирован: 30 мар 2019, 12:44

Может, имеет смысл опубликовать нынешние успешные настройки? напишите, как решили ситуацию.


Ответить