vpn-server внутри сети

Обсуждение ПО и его настройки
El de Rone
Сообщения: 6
Зарегистрирован: 26 окт 2017, 16:37

Нестандартная ситуация:
основной шлюз - mikrotik
поднят статичный маршрут из локалки в удаленную сеть через циску
cisco router внутри сети с локальным айпишником, с нее поднят туннель site-to-site в удаленную сеть
трафик из локалки в удаленную сеть идет без вопросов
из удаленной сети доступ есть только до циски и микротика,
пингуемый хост в локалке ответ отдает, судя по tcpdump, но ответ застревает, вероятно, где-то на микротике

Уважаемые коллеги, кто сталкивался с подобной сиутацией?
подскажите, как ее можно разрешить?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

El de Rone писал(а):Уважаемые коллеги, кто сталкивался с подобной сиутацией?
подскажите, как ее можно разрешить?

конкретика в виде конфигов будет?


El de Rone
Сообщения: 6
Зарегистрирован: 26 окт 2017, 16:37

микротик - 192.168.210.1
циска - 192.168.210.11
удаленный роутер (vcloud edge) -192.168.0.1

из локалки (192.168.210.29) в удаленную сеть (192.168.0.12):
$ sudo traceroute 192.168.0.12
traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets
1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms
2 192.168.210.11 (192.168.210.11) 9.087 ms 9.756 ms 10.442 ms
3 192.168.0.1 (192.168.0.1) 71.385 ms 47.492 ms 49.682 ms
4 192.168.0.12 (192.168.0.12) 53.219 ms 54.791 ms 56.330 ms

обратно:
# traceroute 192.168.210.29
traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 0.317 ms * *
2 192.168.210.11 (192.168.210.11) 67.476 ms 67.469 ms 67.454 ms
3 * * *

микротик:

Код: Выделить всё

# oct/26/2017 20:26:55 by RouterOS 6.40.3
# software id = NSFS-MJXE
#
# model = RouterBOARD 750 r2
# serial number = 67D206FC8DE0
/interface ethernet
set [ find default-name=ether2 ] name=LAN
set [ find default-name=ether1 ] name=WAN
set [ find default-name=ether3 ] master-port=LAN
set [ find default-name=ether4 ] master-port=LAN
set [ find default-name=ether5 ] master-port=LAN
/ip neighbor discovery
set WAN discover=no
/ip ipsec proposal
add disabled=yes enc-algorithms=aes-256-gcm lifetime=1h name=M1
/ip pool
add name=dhcp ranges=192.168.210.101-192.168.210.199
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=LAN lease-time=4h name=defconf
/snmp community
set [ find default=yes ] addresses=192.168.210.0/24
/ip address
add address=192.168.210.1/24 interface=LAN network=192.168.210.0
add address=x.x.x.46/30 interface=WAN network=x.x.x.44
add address=192.168.1.1/24 interface=LAN network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=WAN
/ip dhcp-server lease
--------бла-бла---------------
/ip dhcp-server network
add address=192.168.210.0/24 comment=defconf dns-server=8.8.8.8 domain=devteam.npozzz.ru gateway=192.168.210.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=176.74.8.33,176.74.9.1,8.8.4.4
/ip dns static
add address=192.168.210.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
-----------------бла-бла-------------------
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=WAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=WAN
add chain=forward disabled=yes dst-address=192.168.0.0/24 src-address=192.168.210.0/24
add chain=forward disabled=yes dst-address=192.168.210.0/24 src-address=192.168.0.0/24
add chain=forward disabled=yes dst-address=192.168.0.0/24 src-address=192.168.210.0/24
add chain=forward disabled=yes dst-address=192.168.210.0/24 src-address=192.168.0.0/24
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.210.0/24
add action=accept chain=srcnat disabled=yes dst-address=192.168.0.0/24 src-address=192.168.210.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=WAN
--------------------бла-бла----------------------------
add action=dst-nat chain=dstnat dst-port=500 in-interface=WAN protocol=udp to-addresses=192.168.210.11 to-ports=500
add action=dst-nat chain=dstnat dst-port=4500 in-interface=WAN protocol=udp src-port="" to-addresses=192.168.210.11 to-ports=4500
/ip ipsec peer
add address=y.y.y.230/32 dh-group=modp1024 disabled=yes enc-algorithm=aes-256 lifetime=8h secret=секрет
/ip ipsec policy
add disabled=yes dst-address=192.168.0.0/24 proposal=M1 sa-dst-address=y.y.y.230 sa-src-address=x.x.x.46 src-address=192.168.210.0/24 tunnel=yes
/ip route
add distance=1 gateway=x.x.x.45
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.210.11
/ip smb shares
set [ find default=yes ] directory=/pub
/snmp
set enabled=yes trap-generators=start-trap trap-target=192.168.210.36,192.168.210.29 trap-version=2
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=zzz.RnD
/system leds
set 0 leds=user-led type=flash-access
add interface=WAN leds=led1 type=interface-activity
/system ntp client
set enabled=yes primary-ntp=46.254.216.12 secondary-ntp=195.91.239.8
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=LAN
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=LAN
/tool sniffer
set filter-interface=LAN filter-ip-address=192.168.0.0/24 filter-mac-protocol=ip filter-stream=yes streaming-enabled=yes streaming-server=192.168.210.29


циска:

Код: Выделить всё

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco837
!
boot-start-marker
boot-end-marker
!
logging console filtered
enable secret 5 секрет
enable password 7 пассворд
!
no aaa new-model
!
!
ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key кей address y.y.y.230
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set cloudset esp-3des esp-sha-hmac
!
crypto map cloudvpn 1 ipsec-isakmp
 set peer y.y.y.230
 set transform-set cloudset
 set pfs group1
 match address 101
!
!
!
interface Ethernet0
 description LAN
 ip address 192.168.210.11 255.255.255.0
 ip virtual-reassembly
 crypto map cloudvpn
 hold-queue 100 out
!         
interface Ethernet2
 description WAN
 no ip address
 ip virtual-reassembly
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.210.1
ip http server
no ip http secure-server
!
!
access-list 100 deny   ip 192.168.210.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 deny   ip 192.168.210.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny   ip 192.168.210.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 100 permit ip 192.168.210.0 0.0.0.255 any
access-list 101 permit ip 192.168.210.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.210.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.210.0 0.0.0.255 192.168.20.0 0.0.0.255
snmp-server community public RO
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 password 7 пассворд
 login
!
scheduler max-task-time 5000
end 


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

попробуйте для начала закомментировать правило

Код: Выделить всё

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

и напишите результат

Код: Выделить всё

/ip settings print


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

А еще лучше, временно ВСЕ правила фаерволла отключить и пробовать!


El de Rone
Сообщения: 6
Зарегистрирован: 26 окт 2017, 16:37

> /ip settings print

Код: Выделить всё

              ip-forward: yes
          send-redirects: yes
     accept-source-route: no
        accept-redirects: no
        secure-redirects: yes
               rp-filter: no
          tcp-syncookies: no
    max-neighbor-entries: 8192
             arp-timeout: 30s
         icmp-rate-limit: 10
          icmp-rate-mask: 0x1818
             route-cache: yes
         allow-fast-path: yes
   ipv4-fast-path-active: no
  ipv4-fast-path-packets: 0
    ipv4-fast-path-bytes: 0
   ipv4-fasttrack-active: no
  ipv4-fasttrack-packets: 349693863
    ipv4-fasttrack-bytes: 227011890677


закомментировал ВСЕ фильтрующие правила
результата нет...


El de Rone
Сообщения: 6
Зарегистрирован: 26 окт 2017, 16:37

еще раз, извне
на циску:
# traceroute 192.168.210.11

Код: Выделить всё

traceroute to 192.168.210.11 (192.168.210.11), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.389 ms  0.371 ms  0.333 ms
 2  192.168.210.11 (192.168.210.11)  38.402 ms * *

на микротик
# traceroute 192.168.210.1

Код: Выделить всё

traceroute to 192.168.210.1 (192.168.210.1), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.583 ms  0.570 ms  0.674 ms
 2  192.168.210.11 (192.168.210.11)  56.752 ms  61.451 ms  61.445 ms
 3  192.168.210.1 (192.168.210.1)  61.427 ms  39.566 ms  41.206 ms

на любой другой адрес:
# traceroute 192.168.210.29

Код: Выделить всё

traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.342 ms  0.310 ms  0.291 ms
 2  192.168.210.11 (192.168.210.11)  37.209 ms  38.951 ms  41.425 ms
 3  * * *
 4  * * *


El de Rone
Сообщения: 6
Зарегистрирован: 26 окт 2017, 16:37

Может тут дело быть в PBR?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

El de Rone писал(а):Может тут дело быть в PBR?

не заметил в вашей конфигурации PBR


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

El de Rone писал(а):закомментировал ВСЕ фильтрующие правила
результата нет...

точно закомментировали правило?

Код: Выделить всё

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid


покажите результат

Код: Выделить всё

/ip firewall filter print


Ответить