Нужна помощь с ipsec

Обсуждение ПО и его настройки
Ответить
12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

Доброго дня!
Проблема следующая: есть rb2011 в одном городе и csr125 в другом. Оба шлюзы по умолчанию. Поднимаю ipsec, коннект есть, трафик шифруется, соединение работает без проблем. На одной стороне сеть 192.168.100.0, на другой 192.168.0.0. С обоих сторон пингуются шлюзы и некоторые устройства, т.е. адреса, соответственно я могу попасть на них с противоположенных сетей, а некоторые устройства, т.е. адреса хоть убей не пингуются и на них нет доступа.
В чем может быть проблема? Всю голову сломал уже, вроде и правила все написаны, и маршруты, но вот часть адресов пингуется, а часть нет.... Причем ситуация одинаковая, хоть при gre, хоть pptp, хоть l2tp.... Что не так делаю, не пойму. И еще нюанс, изначально csr125 настраивал не я и возможно не была вычищена изначальная конфигурация, а сейчас все сбросить нет возможности тк железка в другом городе и доступ к ней во всяком случае пока, только удаленно.
Спасибо заранее. экспорт прилагаю.

 "export"
sep/19/2017 06:57:49 by RouterOS 6.40.3
# software id = NS6P-ZPZ8
#
# model = CRS125-24G-1S-2HnD
# serial number =
/interface bridge
add admin-mac=********** arp=proxy-arp auto-mac=no fast-forward=no name=bridge_local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=**** wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1_WAN
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
set [ find default-name=ether6 ] master-port=ether2-master
set [ find default-name=ether7 ] master-port=ether2-master
set [ find default-name=ether8 ] master-port=ether2-master
set [ find default-name=ether9 ] master-port=ether2-master
set [ find default-name=ether10 ] master-port=ether2-master
set [ find default-name=ether11 ] master-port=ether2-master
set [ find default-name=ether12 ] master-port=ether2-master
set [ find default-name=ether13 ] master-port=ether2-master
set [ find default-name=ether14 ] master-port=ether2-master
set [ find default-name=ether15 ] master-port=ether2-master
set [ find default-name=ether16 ] master-port=ether2-master
set [ find default-name=ether17 ] master-port=ether2-master
set [ find default-name=ether18 ] master-port=ether2-master
set [ find default-name=ether19 ] master-port=ether2-master
set [ find default-name=ether20 ] master-port=ether2-master
set [ find default-name=ether21 ] master-port=ether2-master
set [ find default-name=ether22 ] master-port=ether2-master
set [ find default-name=ether23 ] master-port=ether2-master
set [ find default-name=ether24 ] master-port=ether2-master
set [ find default-name=sfp1 ] master-port=ether2-master
/interface l2tp-client
add allow=mschap2 connect-to=XX.XXX.XXX.XX ipsec-secret=*********** name=l2tp-out1 password=********* user=*******
/interface pptp-client
add allow=mschap2 connect-to=XX.XXX.XXX.XX keepalive-timeout=600 name=******** password=********* user=*********
/interface gre
add allow-fast-path=no disabled=yes ipsec-secret=********** local-address=YY.YY.YYY.YYY name=gre-tunnel1 remote-address=XX.XXX.XXX.XX
/ip neighbor discovery
set ether1_WAN discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=******** wpa2-pre-shared-key=*******
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile supplicant-identity=MikroTik wpa-pre-shared-key=********* wpa2-pre-shared-key=*********
/interface wireless
add disabled=no mac-address=********** master-interface=wlan1 name=wlan2 security-profile=profile ssid=Guest
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=3des
/ip pool
add name=dhcp ranges=192.168.100.105-192.168.100.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge_local lease-time=10h10m name=dhcp1
/ppp profile
set *FFFFFFFE bridge=bridge_local
/interface bridge filter
add action=drop chain=forward in-interface=wlan2
add action=drop chain=forward out-interface=wlan2
/interface bridge port
add bridge=bridge_local comment=defconf interface=ether2-master
add bridge=bridge_local comment=defconf interface=wlan1
add bridge=bridge_local interface=wlan2
/ip address
add address=192.168.100.1/24 interface=ether2-master network=192.168.100.0
add address=YY.YY.YYY.YYY/24 interface=ether1_WAN network=YY.YY.YYY.0
add address=172.16.30.2/30 disabled=yes interface=gre-tunnel1 network=172.16.30.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1_WAN
/ip dhcp-server network
add address=192.168.100.0/24 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes servers=YY.YYY.YY.YYY,YYY.YYY.YY.YY
/ip dns static
add address=192.168.100.1 name=router
/ip firewall filter
add action=accept chain=input dst-address=192.168.100.0/24 log=yes src-address=192.168.0.0/24
add action=accept chain=output dst-address=192.168.0.0/24 log=yes src-address=192.168.100.0/24
add action=accept chain=input disabled=yes protocol=gre
add action=accept chain=output disabled=yes protocol=gre
add action=accept chain=input dst-port=500 in-interface=ether1_WAN protocol=udp
add action=accept chain=output dst-port=500 out-interface=ether1_WAN protocol=udp
add action=accept chain=input in-interface=ether1_WAN protocol=ipsec-esp
add action=accept chain=output out-interface=ether1_WAN protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/24 log=yes src-address=192.168.100.0/24
add action=masquerade chain=srcnat out-interface=ether1_WAN
/ip firewall raw
add action=notrack chain=prerouting dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=notrack chain=prerouting dst-address=192.168.100.0/24 src-address=192.168.0.0/24
/ip ipsec peer
add address=XX.XXX.XXX.XX/32 compatibility-options=skip-peer-id-validation dh-group=modp1024 enc-algorithm=3des mode-config=request-only nat-traversal=no secret=************
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.0.0/24 sa-dst-address=XX.XXX.XXX.XX sa-src-address=YY.YY.YYY.YYY src-address=192.168.100.0/24 tunnel=yes
/ip route
add distance=1 gateway=YY.YY.YYY.1
add distance=1 dst-address=192.168.0.0/24 gateway=ether1_WAN pref-src=YY.YY.YYY.YYY scope=10
add disabled=yes distance=1 dst-address=192.168.0.0/24 gateway=gre-tunnel1 pref-src=192.168.100.1
/ip route rule
add disabled=yes dst-address=192.168.0.0/24 interface=bridge_local routing-mark=main src-address=192.168.100.0/24 table=main
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=ether1_WAN type=external
add interface=bridge_local type=internal
/lcd interface pages
set 0 interfaces=wlan1
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=gw.*********
/system ntp client
set enabled=yes primary-ntp=91.226.136.155 secondary-ntp=88.147.254.232 server-dns
/system routerboard settings
set cpu-frequency=750MHz
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
add interface=wlan1
add interface=wlan2
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master
add interface=wlan1
add interface=wlan2
/tool sniffer
set filter-interface=ether1_WAN


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Странно что пингуются некоторые устройства.
При беглом просмотре конфига заметил что у вас интерфейс вместо ip адреса для маршрутизации.
Попробуйте указать ip адрес вместо интерфейса.
И проверьте у тех адресов которые не пингуются, что корректно указан адрес шлюза

ЗЫ: на CRS VPN, да еще с ipec, это вы опрометчиво.


Александр
12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

Вот и я говорю, что странно, что часть пингуется, а часть нет... Интерфейсы поменял на адреса, картина та же.
Шлюзы раздаются dhcp и в первой и во второй сети, корректно указаны.

Почему опрометчиво на csr ipsec? )


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

12black12 писал(а):Вот и я говорю, что странно, что часть пингуется, а часть нет...


Локально пингуется все устройства ?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

А что за устройства? Не компы ли это под вёндами? Тогда вангую что ваша проблема в майковском фаерволе, ака брандмауэре.


12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

mafijs писал(а):
12black12 писал(а):Вот и я говорю, что странно, что часть пингуется, а часть нет...


Локально пингуется все устройства ?



Да, все пингуется.
Машины под вендами, да, но! Скажем в офисе 10 машин на вин10про, на одной из них шара, 9 машин работает с этой шарой без загвоздки. И из этих 10ти машин, 5 из удаленного офиса пингуется, а 5 нет ) с обратной стороны аналогичные вин 10 про оси.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Возьмите две машины (одну что точно пингуется,и одну что не пингуется) и проделайте ряд тестов.
а) я бы пропинговал обе машины с разных точек
б) между машинами (с каждой)
в) трассировку сюда же
г) ну ладно с пингами, тем более если у Вас прошки стоят - РДП включите, и попробуйте по РДП залезть и пингующую машину,
и на ту, что не пингуется.

Ну и всё же обычно дело в мелочах: маски, шлюзы, проверьте настройки DHCP, что он выдаёт?
Аренду измените сервера, чтобы точно быть уверенным что новые настройки пришли.
Может вдруг те остальные 5 машин пока ещё сидят (имеют адреса со старого DHCP или с текущего, но со старыми параметрами?)

д) наконец-то сделайте лайфхак: подключения Ваши на ту сеть удалённую спрячьте Ваши адреса,
то есть если Вы идёте в сеть, на комп 192.168.0.50, то сделайте так, чтобы Ваш пакет дошёл до роутера, скажем 192.168.0.1
и до компа 192.168.0.50 Вы пришли уже с адресом 192.168.0.1 (обычно винды, антивирусы и так далее не любят иные сети,
а со своей сети пускают).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

12black12 писал(а):
mafijs писал(а):
12black12 писал(а):Вот и я говорю, что странно, что часть пингуется, а часть нет...


Локально пингуется все устройства ?



Да, все пингуется.
Машины под вендами, да, но! Скажем в офисе 10 машин на вин10про, на одной из них шара, 9 машин работает с этой шарой без загвоздки. И из этих 10ти машин, 5 из удаленного офиса пингуется, а 5 нет ) с обратной стороны аналогичные вин 10 про оси.

Ну так отключите брендмауер на время теста, то, что одни пингуются а другие нет вовсе не показатель, только вам известно что и как настроено и именно поэтому для тестов проще всего отключить брэндмауер и с вероятностью в 99% тот комп что не пинговался тут же начнет пинговаться.


12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

Сегодня позже попробую, пока к сожалению нет возможность попасть на компы.


12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

Всем Спасибо друзья! Это был брэндмауер виндовс. Видимо на тех машинах которые работали-пинговались, "продвинутые" юзеры выключили его. )) Как появилась возможность попасть на компы так все проверил и все взлетело )) Всем Спасибо )


Ответить