Маршрутизация в тоннеле L2TP/IPsec

Обсуждение ПО и его настройки
andrey.polyakov
Сообщения: 10
Зарегистрирован: 19 окт 2018, 15:01

парни, подскажите а роутинг в l2tp/ipsec канале работать будет?
есть ipsеc тоннель между микротиком и керио контролом(софтовый роутер)

сеть за микротиком 192.168.10.0/24
сеть за керио 192.168.100.0/24

так же за керио есть еще один тоннель и сетка за ним 192.168.101.0/24
как верно прописать роутинг? не могу завести 101 сеть, чтобы она была видна за микротиком


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

На микротике надо маршрут добавить до 192.168.101.0/24 указав гейтвеем туннельный адрес керио.
Соответственно и на том роутере, который держит дальний (от микротика) конец второго туннеля надо сделать примерно то же самое: добавить маршрут до 192.168.10.0/24 через второй туннельный адрес керио.


Telegram: @thexvo
andrey.polyakov
Сообщения: 10
Зарегистрирован: 19 окт 2018, 15:01

xvo писал(а): 19 окт 2018, 15:26 На микротике надо маршрут добавить до 192.168.101.0/24 указав гейтвеем туннельный адрес керио.
Соответственно и на том роутере, который держит дальний (от микротика) конец второго туннеля надо сделать примерно то же самое: добавить маршрут до 192.168.10.0/24 через второй туннельный адрес керио.
добавляем в "роут листе"? под туннельным адресом я верно понимаю именно тунельный? так керио 100.1 а тунельный адрес 10.10.0.1, то и указываю 10.10.0.1?
как на скрине?

Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Да, именно туннельный.
На скрине у вас там интерфейс ether1 - вот туда.


Telegram: @thexvo
andrey.polyakov
Сообщения: 10
Зарегистрирован: 19 окт 2018, 15:01

xvo писал(а): 19 окт 2018, 16:30 Да, именно туннельный.
На скрине у вас там интерфейс ether1 - вот туда.

Изображение

не работает


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну так а на другом конце тоже настроено?


Telegram: @thexvo
andrey.polyakov
Сообщения: 10
Зарегистрирован: 19 окт 2018, 15:01

xvo писал(а): 19 окт 2018, 16:57 Ну так а на другом конце тоже настроено?
конечно........
я тут на статью наткнулся(https://habr.com/post/216215/), вот выдержка
---------
Вдумчивое курение интернетов на тему IPseс в Mikrotik и объединения локальных сетей за разными типами роутеров дало понимание, что при такой схеме у всех проблема однотипная – невозможность объяснить Mikrotik куда именно слать пакеты. Практически на всех типах роутеров IPSec туннель – это отдельный сетевой интерфейс, что логично. Но не в Mikrotik, и поэтому определить для него маршрут прохождения пакетов в удаленную подсеть невозможно. На практике в связке с Kerio Control — Mikrotik упорно слал пакеты через последний добавленный SAs. Пакеты честно приходили в центральный офис и там отбрасывались Kerio Control. Ни в одной статье я не нашел объяснения логики поведения Mikrotik в таком случае. Я перепробовал все, кажется, возможные варианты с одинаковым результатом. С нулевым. Связь была только с одной подсетью – с последней автоматически добавленной при установке туннеля
--------

статья за 14 год, может конечно что изменилось, но судя по всему нет


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

andrey.polyakov писал(а): 19 окт 2018, 17:15 я тут на статью наткнулся(https://habr.com/post/216215/), вот выдержка
---------
Вдумчивое курение интернетов на тему IPseс в Mikrotik и объединения локальных сетей за разными типами роутеров дало понимание, что при такой схеме у всех проблема однотипная – невозможность объяснить Mikrotik куда именно слать пакеты. Практически на всех типах роутеров IPSec туннель – это отдельный сетевой интерфейс, что логично. Но не в Mikrotik, и поэтому определить для него маршрут прохождения пакетов в удаленную подсеть невозможно. На практике в связке с Kerio Control — Mikrotik упорно слал пакеты через последний добавленный SAs. Пакеты честно приходили в центральный офис и там отбрасывались Kerio Control. Ни в одной статье я не нашел объяснения логики поведения Mikrotik в таком случае. Я перепробовал все, кажется, возможные варианты с одинаковым результатом. С нулевым. Связь была только с одной подсетью – с последней автоматически добавленной при установке туннеля
--------

статья за 14 год, может конечно что изменилось, но судя по всему нет
Ерунда какая-то:
1) У меня гирлянда из двух туннелей между 3 микротиками работает как и положено, пробовал и L2TP + L2TP, и GRE + GRE, и GRE + L2TP (все варианты с ipsec) - все политики создаются динамически самими туннелями, и все в итоге видят всех.
2) Даже если указананое в статье и правда - что работает только одна Sa, то к вашему случаю оно вообще никак не должно быть применимо - у вас и так на микротике должна быть одна Sa - до керио, что там происходит дальше его вообще волновать не должно, оно всё равно должно паковаться в L2TP туннель и попадать под ту же самую политику между микротиком и керио.

Так что ищите на каком этапе пакеты теряются.
Может быть где-то firewall настроен не пропускать то, что нужно.
Может быть где-то NAT не корректно работает.
Но проблема должна быть решаема 100%


Telegram: @thexvo
andrey.polyakov
Сообщения: 10
Зарегистрирован: 19 окт 2018, 15:01

xvo писал(а): 19 окт 2018, 18:04
Ерунда какая-то:
1) У меня гирлянда из двух туннелей между 3 микротиками работает как и положено, пробовал и L2TP + L2TP, и GRE + GRE, и GRE + L2TP (все варианты с ipsec) - все политики создаются динамически самими туннелями, и все в итоге видят всех.
2) Даже если указананое в статье и правда - что работает только одна Sa, то к вашему случаю оно вообще никак не должно быть применимо - у вас и так на микротике должна быть одна Sa - до керио, что там происходит дальше его вообще волновать не должно, оно всё равно должно паковаться в L2TP туннель и попадать под ту же самую политику между микротиком и керио.

Так что ищите на каком этапе пакеты теряются.
Может быть где-то firewall настроен не пропускать то, что нужно.
Может быть где-то NAT не корректно работает.
Но проблема должна быть решаема 100%
проблема оказалась решаема, в ip-ipsec-polices надо руками создавать каждую подсеть и на каждом керио руками прописывать маршрут до сети за микротиком


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

andrey.polyakov писал(а): 23 окт 2018, 17:26 проблема оказалась решаема, в ip-ipsec-polices надо руками создавать каждую подсеть и на каждом керио руками прописывать маршрут до сети за микротиком
Если я все правильно понял, то вот тут https://blog.bravi.org/?p=1209 пишут, что критичным моментом является то, что у policy level должен быть unique, а не require.


Telegram: @thexvo
Ответить