...и манглы, и много маршрутов есть.
А как понять, что УЛЕТАЕТ не через того провайдера и ЧТО улетает не через того провайдера??!!
Логи же перед Вами, а они пусты((
Не "поднимается" GRE интерфейс
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
У вас же в логи не все пишется.
Как отлавливать:
1) посмотреть список соединений
2) создать в firewall'е правила, которые как раз таки будут в логи отправлять наличие gre пакетов.
3) или torch запустить, ловить те же gre пакеты
4) в итоге найти место, кто их не пропускает или не отправляет или отправляет не туда.
Ну и просто свой конфиг посмотрите, где у вас что может вмешиваться в процесс.
Вот схема того, как обрабатывается пакет, в случае, если он попадает под ip-sec policy. Там столько мест, где его можно "сбить с пути":
https://wiki.mikrotik.com/wiki/Manual:P ... Decryption
Учитывая, что сам ipsec "вроде как" работает, то проблема получается где-то в зеленых стрелках.
Раз firewall отключен, смотрите nat, mangle.
Как отлавливать:
1) посмотреть список соединений
2) создать в firewall'е правила, которые как раз таки будут в логи отправлять наличие gre пакетов.
3) или torch запустить, ловить те же gre пакеты
4) в итоге найти место, кто их не пропускает или не отправляет или отправляет не туда.
Ну и просто свой конфиг посмотрите, где у вас что может вмешиваться в процесс.
Вот схема того, как обрабатывается пакет, в случае, если он попадает под ip-sec policy. Там столько мест, где его можно "сбить с пути":
https://wiki.mikrotik.com/wiki/Manual:P ... Decryption
Учитывая, что сам ipsec "вроде как" работает, то проблема получается где-то в зеленых стрелках.
Раз firewall отключен, смотрите nat, mangle.
Telegram: @thexvo
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вообще я сейчас повнимательнее попытался всё это представить.
В общем смотрите, при работающем туннеле между внешними адресами роутеров должно быть три активных соединения (не обязательно в одном направлении):
1) UDP, port 500: ISAKMP - собствено установка SA
2) ipsec-esp (50): упакованные в ipsec пакеты.
3) gre (47): собственно уже распакованный туннель.
С 1) я так понимаю все в порядке.
Если 2) тоже есть, а вот 3) нет - то проблему надо смотреть где-то на зеленых стрелках, с уже распакованным пакетом (правда там не совсем, как на картинке, когда пакеты для самого роутера - просто петля по одним и тем же цепочкам).
А вот если и 2) и 3) нет, тогда видимо надо смотреть первый круг.
Ну или вообще есть вариант, что 50 протокол, где-то по пути не проходит.
В общем смотрите, при работающем туннеле между внешними адресами роутеров должно быть три активных соединения (не обязательно в одном направлении):
1) UDP, port 500: ISAKMP - собствено установка SA
2) ipsec-esp (50): упакованные в ipsec пакеты.
3) gre (47): собственно уже распакованный туннель.
С 1) я так понимаю все в порядке.
Если 2) тоже есть, а вот 3) нет - то проблему надо смотреть где-то на зеленых стрелках, с уже распакованным пакетом (правда там не совсем, как на картинке, когда пакеты для самого роутера - просто петля по одним и тем же цепочкам).
А вот если и 2) и 3) нет, тогда видимо надо смотреть первый круг.
Ну или вообще есть вариант, что 50 протокол, где-то по пути не проходит.
Telegram: @thexvo
-
dskdimon
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Напишите здесь, пожалуйста, какие правила в firewall нужно прописать, чтоб логи этих правил были бы информативны в случае с теми тремя моментами, которые вы описали.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Как-то так:
Код: Выделить всё
/ip firewall filter add action=accept chain=input dst-port=500 in-interface=ВАШ_WAN protocol=udp log=yes
/ip firewall filter add action=accept chain=input in-interface=ВАШ_WAN protocol=ipsec-esp log=yes
/ip firewall filter add action=accept chain=input in-interface=ВАШ_WAN ipsec-policy=in,ipsec protocol=gre log=yesTelegram: @thexvo
-
lezhenkin
- Сообщения: 11
- Зарегистрирован: 03 окт 2018, 16:02
Здравствуйте.
Я попытался поднять GRE-туннель между двумя 951-ми роутерами с внешними статическими IP. Ознакомился с этим материалом для раздела Site to Site GRE tunnel over IPsec (IKEv2) using DNS.
Как я понимаю, сначала должен подыматься IPsec-туннель между роутерами, а затем уже внутри его — GRE.
Но интерфейсы GRE на обоих роутерах не запускаются. Способ включения логов для GRE я не нашел.
Версии RouterOS на обоих роутерах 6.48.6. IPsec между роутерами подымается. Динамические policies создаются. Но GRE-интерфейсы не в состоянии running. Я уже дошел до тупейшего копипаста команд из статьи мануала. Пробовал и на основе сертификатов пиров создавать, и с паролями. Итог один и тот же. В файрволле я и разрешал различные протоколы, и отключал вовсе все правила drop. Ничего не меняется. А логи GRE где искать я так и не понял.
Подскажите, пожалуйста, с чего начать поиск корня проблемы?
Я попытался поднять GRE-туннель между двумя 951-ми роутерами с внешними статическими IP. Ознакомился с этим материалом для раздела Site to Site GRE tunnel over IPsec (IKEv2) using DNS.
Как я понимаю, сначала должен подыматься IPsec-туннель между роутерами, а затем уже внутри его — GRE.
Но интерфейсы GRE на обоих роутерах не запускаются. Способ включения логов для GRE я не нашел.
Версии RouterOS на обоих роутерах 6.48.6. IPsec между роутерами подымается. Динамические policies создаются. Но GRE-интерфейсы не в состоянии running. Я уже дошел до тупейшего копипаста команд из статьи мануала. Пробовал и на основе сертификатов пиров создавать, и с паролями. Итог один и тот же. В файрволле я и разрешал различные протоколы, и отключал вовсе все правила drop. Ничего не меняется. А логи GRE где искать я так и не понял.
Подскажите, пожалуйста, с чего начать поиск корня проблемы?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
С firewall.
Протокол GRE должен быть разрешен в цепочке input с доп условием ipsec-policy=in,ipsec на обоих роутерах.
Протокол GRE должен быть разрешен в цепочке input с доп условием ipsec-policy=in,ipsec на обоих роутерах.
Telegram: @thexvo
-
lezhenkin
- Сообщения: 11
- Зарегистрирован: 03 окт 2018, 16:02
Код: Выделить всё
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=passthrough protocol=icmp dst-address=10.17.19.0/24 out-interface-list=WAN log=no log-prefix=""
1 chain=input action=accept protocol=gre log=no log-prefix="" ipsec-policy=in,ipsec
2 chain=output action=accept protocol=gre log=no log-prefix="" ipsec-policy=out,ipsec
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Попробуйте поднять GRE либо вообще без IPSec'а, либо со "встроенным" (когда просто в настройках самого интерфейса IPSec secret задается) - понять, проблема именно в GRE, или что у вас внутри IKEv2 ничего не ходит.
Telegram: @thexvo
-
lezhenkin
- Сообщения: 11
- Зарегистрирован: 03 окт 2018, 16:02
Между двумя статическими IP с ключом IPsec для GRE-интерфейса туннель подымается. Не работает он именно поверх IPsec.
Запустил на VMware две виртуальных машины с RouterOS 6.48.6. Настроил в них всё по вышеупомянутой статье, и всё работает.
Понять, что не так на живых роутерах, помогли бы логи. Но где их взять? В system logging можно включить что угодно, но только не логи для GRE.