Добрый вечер!
Два офиса связаны по IPSEC: с одной стороны Mikrotik CCR1036, а с другой D-Link DFL-800. Решили поменять D-Link на Mikrotik hEX. Всё настроил и туннель поднялся. Но появились проблемы: некоторые сайты не открываются, не соединения с внутренним сервером по https (TLS не может соединиться) и другие неожиданные мелочи. На стороне CCR ни каких изменений не делалось. При возврате DFL(нужно было офису нормально работать) все проблемы ушли сразу.
В чём может быть проблема?
Проблема с туннелем IPSEC
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
В настройках, очевидно.
Как минимум нужны настройки ипсек.
Ну и как бы - на микротиках посоветовал бы таки ipip тоннель а не ipsec в чистом виде
Как минимум нужны настройки ипсек.
Ну и как бы - на микротиках посоветовал бы таки ipip тоннель а не ipsec в чистом виде
-
saszay
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
/ip ipsec mode-config
set [ find default=yes ] name=request-only
/ip ipsec policy group
set [ find default=yes ] name=default
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=1h name=NEWProposal pfs-group=none
/ip ipsec peer
add address=remoteHost/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=des exchange-mode=main \
generate-policy=no hash-algorithm=sha1 lifetime=8h nat-traversal=no policy-template-group=default proposal-check=obey send-initial-contact=yes
/ip ipsec policy
set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes
add action=encrypt disabled=no dst-address=192.168.48.0/21 dst-port=any ipsec-protocols=esp level=require proposal=NEWProposal protocol=all sa-dst-address=remoteHost sa-src-address=localHost src-address=\
192.168.51.0/24 src-port=any tunnel=yes
/ip ipsec user settings
set xauth-use-radius=no
set [ find default=yes ] name=request-only
/ip ipsec policy group
set [ find default=yes ] name=default
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=1h name=NEWProposal pfs-group=none
/ip ipsec peer
add address=remoteHost/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=des exchange-mode=main \
generate-policy=no hash-algorithm=sha1 lifetime=8h nat-traversal=no policy-template-group=default proposal-check=obey send-initial-contact=yes
/ip ipsec policy
set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes
add action=encrypt disabled=no dst-address=192.168.48.0/21 dst-port=any ipsec-protocols=esp level=require proposal=NEWProposal protocol=all sa-dst-address=remoteHost sa-src-address=localHost src-address=\
192.168.51.0/24 src-port=any tunnel=yes
/ip ipsec user settings
set xauth-use-radius=no
-
saszay
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
А чем туннель ipip лучше?
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Я надеюсь Вы на обоих девайсах использовали дефолт пропосал? Ибо в ваших эелезках аппаратно шифруется только AES-CBC на сколько я помню.
Все параметры должны быть с двух сторон одинаковые, адреса соответственно зеркальные. Вторая сторона конфиг то где?
-
saszay
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
/ip ipsec mode-config
set [ find default=yes ] name=request-only
/ip ipsec policy group
set [ find default=yes ] name=default
/ip ipsec proposal
set [ find default=yes ]
auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-256-ctr,3des lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=187Proposal pfs-group=none
add auth-algorithms=sha1 disabled=no enc-algorithms=aes-192-cbc lifetime=1h name=Shig6_Proposal pfs-group=none
add auth-algorithms=sha1 disabled=no enc-algorithms=aes-192-cbc lifetime=1h name=ISPProposals pfs-group=none
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=1h name=OldProposal pfs-group=none
/ip ipsec peer
add address=RemoteHostA/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no \
dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=des exchange-mode=main generate-policy=no hash-algorithm=sha1 lifetime=8h nat-traversal=no \
passive=yes policy-template-group=default proposal-check=obey send-initial-contact=yes
add address=0.0.0.0/0 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\
aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 lifetime=1d nat-traversal=yes passive=\
yes policy-template-group=default proposal-check=obey send-initial-contact=yes
/ip ipsec policy
set 0 disabled=yes dst-address=0.0.0.0/0 group=default proposal=default protocol=all src-address=0.0.0.0/0 template=yes
add action=encrypt comment=OLD_ disabled=no dst-address=192.168.51.0/24 dst-port=any ipsec-protocols=esp level=require proposal=\
OldProposal protocol=all sa-dst-address=RemontHostB sa-src-address=RemoteHostB src-address=192.168.48.0/21 src-port=any tunnel=yes
/ip ipsec user settings
set xauth-use-radius=no
set [ find default=yes ] name=request-only
/ip ipsec policy group
set [ find default=yes ] name=default
/ip ipsec proposal
set [ find default=yes ]
auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-256-ctr,3des lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=187Proposal pfs-group=none
add auth-algorithms=sha1 disabled=no enc-algorithms=aes-192-cbc lifetime=1h name=Shig6_Proposal pfs-group=none
add auth-algorithms=sha1 disabled=no enc-algorithms=aes-192-cbc lifetime=1h name=ISPProposals pfs-group=none
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=1h name=OldProposal pfs-group=none
/ip ipsec peer
add address=RemoteHostA/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no \
dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=des exchange-mode=main generate-policy=no hash-algorithm=sha1 lifetime=8h nat-traversal=no \
passive=yes policy-template-group=default proposal-check=obey send-initial-contact=yes
add address=0.0.0.0/0 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\
aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 lifetime=1d nat-traversal=yes passive=\
yes policy-template-group=default proposal-check=obey send-initial-contact=yes
/ip ipsec policy
set 0 disabled=yes dst-address=0.0.0.0/0 group=default proposal=default protocol=all src-address=0.0.0.0/0 template=yes
add action=encrypt comment=OLD_ disabled=no dst-address=192.168.51.0/24 dst-port=any ipsec-protocols=esp level=require proposal=\
OldProposal protocol=all sa-dst-address=RemontHostB sa-src-address=RemoteHostB src-address=192.168.48.0/21 src-port=any tunnel=yes
/ip ipsec user settings
set xauth-use-radius=no
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
192.168.48.0/21
192.168.51.0/24
Вот это не очень хорошо, если честно .... хотя и должно работать
НАТ правила на обоих девайсах выложите тоже.
192.168.51.0/24
Вот это не очень хорошо, если честно .... хотя и должно работать
НАТ правила на обоих девайсах выложите тоже.
-
saszay
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
add action=accept chain=input in-interface=LAN src-address=192.168.51.0/24
add action=accept chain=input src-address=192.168.48.0/21
add action=accept chain=forward dst-address=192.168.48.0/21 in-interface=LAN src-address=192.168.51.0/24
add action=accept chain=forward dst-address=192.168.51.0/24 out-interface=LAN src-address=192.168.48.0/21
add action=accept chain=input src-address=192.168.48.0/21
add action=accept chain=forward dst-address=192.168.48.0/21 in-interface=LAN src-address=192.168.51.0/24
add action=accept chain=forward dst-address=192.168.51.0/24 out-interface=LAN src-address=192.168.48.0/21
-
saszay
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
А зачем обои? При D-Link ведь всё работает, значит правила адекватные...
Может это важно - на Mikrotik приходят два провайдера: WAN1 и WAN2
Может это важно - на Mikrotik приходят два провайдера: WAN1 и WAN2