Доброго дня, коллеги.
Настроен l2tp ipsec между cisco asa и микротиком rb750gr3.
В роли сервера соответственно asa (белый стат ip), клиенты за микротами. (сервый ip у ммикрота на wan от провайдера)
И вот возник вопрос, кто из сети за cisco asa не видит пк которые находятся за микротами.
Вот хотел уточнить, понятно что необходимо показывать конфиги и т.д., но в теории реально ли сделать что бы пк с обоих сторон видели друг друга ?
Пока чтор те кто за микротом видят подсети что за cisco asa, но не в обратную сторону.
увидеть ПК по обе стороны cisco asa - микротик 750
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Конечно можно.
На всякий случай проверьте что не забыли на асе:
1. добавить разрешение из inside для локалки на локалку за микротиком ?
2. маршрут для сети которая за микротиком через шлюз провайдера что на асе ?
Александр
-
qbk
- Сообщения: 8
- Зарегистрирован: 28 дек 2017, 17:38
Благодарю Вас за быстрый ответ.
Но что-то никак не могу понять
У одного ip за микротиком 10.1.0.0/24 у другого региона 10.1.1.0/24 при этом сами понимаете Assigned IP : 10.254.202.95 каждый раз при разрыве и переподключении будет другим.
Так же Public IP : y.y.y.y, не значит что микрот имеет на wan ip y.y.y.y , ip на wan так же серый.
Acl на asa разрешено, но никакого маршрута соответственно нет в те подсети, потому что route 10.1.0.0 255.255.255.0 и тут вопрос какой хоп то писать ? Ответ какой бы я не написал он ничего не знает о сетях 10.1.0.0.
Отсюда просьба подсказать может я что не понимаю по маршрутизации, что необходимо ?
Если
Вот ушёл пакет с назначением 10.1.0.90 к примеру на шлюз что на асе к примеру 7.7.7.7, дальше шлюз то где будет искать если он знает только куча Assigned IP и public ip которые в свою очередь ничего не знаю про 10.1.0.0.
Я думал что все работает из за микротика до asa как бы оверлоадом и никак более. Возможно не правильно, то прошу подсказать, учиться никогда не поздно.
Но что-то никак не могу понять
Код: Выделить всё
sh vpn-sessiondb ra-ikev1-ipsec
Session Type: IKEv1 IPsec
Username : IRKUTSK Index : 2825
Assigned IP : 10.254.202.95 Public IP : х.х.х.х
Protocol : IKEv1 IPsec L2TPOverIPsec
License : Other VPN
Encryption : IKEv1: (1)AES256 IPsec: (1)AES256 L2TPOverIPsec: (1)none
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1 L2TPOverIPsec: (1)none
Bytes Tx : 317744445 Bytes Rx : 99327169
Group Policy : L2TP_IPSEC Tunnel Group : DefaultRAGroup
Login Time : 19:32:36 MSK/MSD Mon Mar 11 2019
Duration : 22h:31m:44s
Username : VLADIVOSTOK Index : 2830
Assigned IP : 10.254.202.94 Public IP : y.y.y.y
Protocol : IKEv1 IPsecOverNatT L2TPOverIPsecOverNatT
License : Other VPN
Encryption : IKEv1: (1)AES256 IPsecOverNatT: (1)AES256 L2TPOverIPsecOverNatT: (1)none
Hashing : IKEv1: (1)SHA1 IPsecOverNatT: (1)SHA1 L2TPOverIPsecOverNatT: (1)none
Bytes Tx : 45282264 Bytes Rx : 18160535
Group Policy : L2TP_IPSEC Tunnel Group : DefaultRAGroup
Login Time : 19:32:33 MSK/MSD Mon Mar 11 2019
Duration : 22h:31m:47s
Так же Public IP : y.y.y.y, не значит что микрот имеет на wan ip y.y.y.y , ip на wan так же серый.
Acl на asa разрешено, но никакого маршрута соответственно нет в те подсети, потому что route 10.1.0.0 255.255.255.0 и тут вопрос какой хоп то писать ? Ответ какой бы я не написал он ничего не знает о сетях 10.1.0.0.
Отсюда просьба подсказать может я что не понимаю по маршрутизации, что необходимо ?
Если
Код: Выделить всё
маршрут для сети которая за микротиком через шлюз провайдера что на асеЯ думал что все работает из за микротика до asa как бы оверлоадом и никак более. Возможно не правильно, то прошу подсказать, учиться никогда не поздно.
-
qbk
- Сообщения: 8
- Зарегистрирован: 28 дек 2017, 17:38
algerka
Cоглашусь с Вашей подсказкой. Был не прав.
Если напрямую вкл usb в ноутбук, то с asa пинг идет до Assigned IP.
Если в микротик, то пакеты вижу что прилетают, но он не отвечает. Похоже копать буду в сторону доступа из вне.
А так извините Ваш вариант как заставлю пинговать с asa ip микрота, останется маршрут и все тип топ должно быть.
Cоглашусь с Вашей подсказкой. Был не прав.
Если напрямую вкл usb в ноутбук, то с asa пинг идет до Assigned IP.
Если в микротик, то пакеты вижу что прилетают, но он не отвечает. Похоже копать буду в сторону доступа из вне.
А так извините Ваш вариант как заставлю пинговать с asa ip микрота, останется маршрут и все тип топ должно быть.
-
qbk
- Сообщения: 8
- Зарегистрирован: 28 дек 2017, 17:38
Коллеги доброго дня.
Что-то я уже пол дня копаюсь и никак не могу понять как необходимо правильно сделать.
Микротик через usb модем подключается к asa.
ПК за микротом видят сеть за asa, в обратную сторону нет. (c asa не видно даже ip микрота полученного из l2tp пула)
Подключал usb напрямую к ноутбуку все ок, с asa виден ip который получил нотубук из l2tp пула.
на микроте с свойствах l2tp
local address 10.254.202.128 (ip из пула l2tp сервера)
remote address 177.77.77.77 (внешний ip asa)
Может будет время подсказать. Маршрут прописать но никак не пойму как правильно.
Что-то я уже пол дня копаюсь и никак не могу понять как необходимо правильно сделать.
Микротик через usb модем подключается к asa.
ПК за микротом видят сеть за asa, в обратную сторону нет. (c asa не видно даже ip микрота полученного из l2tp пула)
Подключал usb напрямую к ноутбуку все ок, с asa виден ip который получил нотубук из l2tp пула.
Код: Выделить всё
/interface bridge
add name=LAN
/interface lte
set [ find ] mac-address=58:2C:80:13:92:63 name=lte1
/interface l2tp-client
add allow=chap,mschap2 connect-to=177.77.77.77 disabled=no ipsec-secret=***** name=l2tp-out1 password=***** use-ipsec=yes user=TEST
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
/ip pool
add name=pool-LAN ranges=10.10.131.12-10.10.131.99
/ip dhcp-server
add address-pool=pool-LAN disabled=no interface=LAN name=lan-dhcp
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge port
add bridge=LAN interface=ether2
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5
/ip address
add address=10.10.131.250/24 interface=LAN network=10.10.131.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=lte1
/ip dhcp-server network
add address=10.10.131.0/24 dns-server=10.10.131.250 gateway=10.10.131.250
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input comment=icmp-ok protocol=icmp
add action=accept chain=output comment=icmp-ok2 protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT src-address=10.10.131.0/24
/ip route
add distance=1 dst-address=10.1.0.0/24 gateway=l2tp-out1
local address 10.254.202.128 (ip из пула l2tp сервера)
remote address 177.77.77.77 (внешний ip asa)
Может будет время подсказать. Маршрут прописать но никак не пойму как правильно.
Последний раз редактировалось qbk 14 мар 2019, 13:28, всего редактировалось 1 раз.
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
В первом сообщении, я не внимательно прочел, подумав что у вас ipsec, а у вас l2tp. Тут все по другому.
Раз вы говорите что с хостов за микротиком хосты за аса пингуются, значит туннель поднимается
Видимо стоит проверить маршрутизацию и списки доступа на asa.
Вы понимаете назначение этого правила ?qbk писал(а): ↑14 мар 2019, 12:44Код: Выделить всё
/ip firewall nat add action=masquerade chain=srcnat comment=NAT src-address=10.10.131.0/24
Раз вы говорите что с хостов за микротиком хосты за аса пингуются, значит туннель поднимается
Видимо стоит проверить маршрутизацию и списки доступа на asa.
Александр
-
qbk
- Сообщения: 8
- Зарегистрирован: 28 дек 2017, 17:38
Вопрос основной пока у меня вот в чем
Отсюда вывод что на asa все ок.
Но с Вами то же соглашусь, с пк за микротиками видно пк за asa.
Но я подумал как
1) добиться что бы asa видела ip который получает микротик из пула l2tp
2) (Ваше предположение) на asa сделать маршрут к примеру 10.10.131.0 255.255.255.0 и хоп ip микрота который получен из пула l2tp. А далее микрот уже сам должен искать есть такой пк в его LAN иль нет.
Не верные мысли ?
Код: Выделить всё
Подключал usb напрямую к ноутбуку все ок, с asa виден ip который получил нотубук из l2tp пула.
Но с Вами то же соглашусь, с пк за микротиками видно пк за asa.
Но я подумал как
1) добиться что бы asa видела ip который получает микротик из пула l2tp
2) (Ваше предположение) на asa сделать маршрут к примеру 10.10.131.0 255.255.255.0 и хоп ip микрота который получен из пула l2tp. А далее микрот уже сам должен искать есть такой пк в его LAN иль нет.
Не верные мысли ?
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Вы не ответили на мой вопрос, а это ключевой момент. Если за asa сеть 10.1.0.0/24, то на микротике маршрут на неё настроен.
Считаете, что у вас все ок на asa - значит все работает. Удачи !
Считаете, что у вас все ок на asa - значит все работает. Удачи !
Александр
-
qbk
- Сообщения: 8
- Зарегистрирован: 28 дек 2017, 17:38
значение правила
Это сеть которая находится за микротиком. Для нее настроен NAT.
За asa да все верно 10.1.0.0
А когда в микротик то с asa ip уже не отвечает.
Пока занялся проверкой маршрутов на asa и acl
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT src-address=10.10.131.0/24За asa да все верно 10.1.0.0
Не совсем Вас понял. Я только сказал что при включениии usb в ноутбук напрямую, с asa виден ip который получает ноутбук от пула l2tp.Считаете, что у вас все ок на asa - значит все работает. Удачи !
А когда в микротик то с asa ip уже не отвечает.
Пока занялся проверкой маршрутов на asa и acl