Настройка VPN IPsec с zywall usg 100

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Grigorich
Сообщения: 11
Зарегистрирован: 08 авг 2014, 13:49
Откуда: Амурская область

Подскажите чайнику что делаю неправильно.
Настраивал и по этому примеру http://zyxel.ru/kb/1981 и по этому http://gregsowell.com/?p=787

В логе вот это:
 
15:06:10 ipsec,debug,packet ===
15:06:10 ipsec,debug initiate new phase 1 negotiation: 188.128.97.162[500]<=>46.227.26.169[500]
15:06:10 ipsec,debug begin Identity Protection mode.
15:06:10 ipsec,debug,packet new cookie:
15:06:10 ipsec,debug,packet 70e9b6a072843932
15:06:10 ipsec,debug,packet add payload of len 52, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 13
15:06:10 ipsec,debug,packet add payload of len 16, next type 0
15:06:10 ipsec,debug,packet 344 bytes from 188.128.97.162[500] to 46.227.26.169[500]
15:06:10 ipsec,debug,packet sockname 188.128.97.162[500]
15:06:10 ipsec,debug,packet send packet from 188.128.97.162[500]
15:06:10 ipsec,debug,packet send packet to 46.227.26.169[500]
15:06:10 ipsec,debug,packet src4 188.128.97.162[500]
15:06:10 ipsec,debug,packet dst4 46.227.26.169[500]
15:06:10 ipsec,debug,packet 1 times of 344 bytes message will be sent to 46.227.26.169[500]
15:06:10 ipsec,debug,packet 70e9b6a0 72843932 00000000 00000000 01100200 00000000 00000158 0d000038
15:06:10 ipsec,debug,packet 00000001 00000001 0000002c 01010001 00000024 01010000 800b0001 000c0004
15:06:10 ipsec,debug,packet 00015180 80010001 80030001 80020002 80040001 0d000014 4a131c81 07035845
15:06:10 ipsec,debug,packet 5c5728f2 0e95452f 0d000014 8f8d8382 6d246b6f c7a8a6a4 28c11de8 0d000014
15:06:10 ipsec,debug,packet 439b59f8 ba676c4c 7737ae22 eab8f582 0d000014 4d1e0e13 6deafa34 c4f3ea9f
15:06:10 ipsec,debug,packet 02ec7285 0d000014 80d0bb3d ef54565e e84645d4 c85ce3ee 0d000014 9909b64e
15:06:10 ipsec,debug,packet ed937c65 73de52ac e952fa6b 0d000014 7d9419a6 5310ca6f 2c179d92 15529d56
15:06:10 ipsec,debug,packet 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014 90cb8091 3ebb696e
15:06:10 ipsec,debug,packet 086381b5 ec427b1f 0d000014 16f6ca16 e4a4066d 83821a0f 0aeaa862 0d000014
15:06:10 ipsec,debug,packet 4485152d 18b6bbcd 0be8a846 9579ddcc 0d000014 12f5f28c 457168a9 702d9fe2
15:06:10 ipsec,debug,packet 74cc0100 00000014 afcad713 68a1f1c9 6b8696fc 77570100
15:06:10 ipsec,debug,packet resend phase1 packet 70e9b6a072843932:0000000000000000


Конфигурация тут:
 
/interface wireless
set [ find default-name=wlan1 ] l2mtu=2290
/interface ethernet
set [ find default-name=ether2 ] name=LAN1
set [ find default-name=ether1 ] name=WAN1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=des
add auth-algorithms=md5,sha1 enc-algorithms=des,3des name=VPN-baza-ankor pfs-group=modp768
/ip address
add address=188.128.97.162/30 interface=WAN1 network=188.128.97.160
add address=192.168.1.1/24 interface=LAN1 network=192.168.1.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add chain=srcnat dst-address=192.168.0.0/24 out-interface=WAN1 src-address=192.168.1.0/24
add action=masquerade chain=srcnat
/ip ipsec peer
add address=46.227.26.169/32 dh-group=modp768 enc-algorithm=des hash-algorithm=md5 nat-traversal=no secret=\
test
/ip ipsec policy
add dst-address=192.168.0.0/24 proposal=VPN-baza-ankor src-address=192.168.1.0/24 template=yes
/ip route
add distance=1 gateway=188.128.97.161
/ip upnp
set allow-disable-external-interface=no
/system clock manual
set time-zone=+10:00
/system leds
set 0 interface=wlan1
/system logging
add topics=ipsec


ERge
Сообщения: 12
Зарегистрирован: 02 фев 2016, 03:52

У вас получилось в итоге настроить? тоннель заработал? с какими настройками?
Аналогичная ситуация ZyWall USG 100 и Mikrotik hAP Lite
полные танцы с бубном и вот тоннель вроде бы установился, но ничего кроме пинга на зайволл не работает, заработало только после того как добавил сеть зайвола в маршруты на интерфейс ether1 что имхо странно и в примерах об этом ни слова вообще.

но вот еще более странное, хотя ожидаемое , но как лечить??

в-общем сесть зайвола 172.27.64.0/24 , сеть микротика 192.168.88.0/24
вроде работает с прописыванием маршрута, проверял доступом на порты зайволла, больше проверить было нечего, т.к. никого в сети больше не было.
НО...
общая сеть гораздо шире, зайвол стоит в центре, вся сеть это 172.27.0.0/17
и точки на других роутерах поднимают туннели с зайволом с такими настройками сетей 172.27.X.0/24 <> 172.27.0.0/17
и все друг друга видят через зайволл!
а теперь о странностях.
т.к. роутеры находятся в адресации 172.27.0.0/17 они становятся не доступными для локальной сети, это правомерно для зухелей, д-линки не пропадают, но для зухелей есть магическое сочетание команд, которое делает их доступными (не помню какое, на сайте зухеля есть).
так вот, теперь вернемся к микротику.

если ставить в туннеле микротика сети как 192.168.88.0/24 <> 172.27.0.0/17
то микротик никого кроме зайвола все равно не видит и я так понимаю потому что другие роутеры просто не знают куда слать пакеты, т.к. с их стороны тоннели на сеть 172.27.0.0/17, а не 192.168.88.0/24
если же микротик переместить в адресацию 172.27.X.0/24, чтобы его видели другие, то он так же как зухели пропадает в локальной сети!!!!
и вот как его сделать доступным для локальной сети, чтобы его видели и он видел всех в локалке???
через какие-то бриджы вланы или еще что?


arastegaev
Сообщения: 0
Зарегистрирован: 02 фев 2016, 11:09

Правильная маршрутизация. Нужно на zywall прописать маршруты.


ERge
Сообщения: 12
Зарегистрирован: 02 фев 2016, 03:52

arastegaev писал(а):Правильная маршрутизация. Нужно на zywall прописать маршруты.


ну, хорошо, а какие маршруты там прописывать? и как правильно это сделать?

блин, пинги ходят, протоколы не работают, хотсты за роутером не видно, теперь за микротиком

PS: а главное что можно сделать чтобы микротик не вываливался из локальной сети, с случае попаданию в адресацию VPN сетей?


arastegaev
Сообщения: 0
Зарегистрирован: 02 фев 2016, 11:09

т.е. сейчас у вас сеть как на из.?
001.jpg

хотите что бы все со всех сетей видели друг друга?


ERge
Сообщения: 12
Зарегистрирован: 02 фев 2016, 03:52

arastegaev писал(а):т.е. сейчас у вас сеть как на из.?
001.jpg

да, только на конечных устройствах сеть /24
ну например сеть 1
172.27.15.0/24
а туннель с зайволлом
лок. сеть 172.27.15.0/24
удаленная сеть 172.27.0.0/17

и все работает и все и видят друг друга через зайвол (без доп. маршрутизации на нем)
потому что туннель на конечных устройствах на сеть 172.27.0.0/17
PS: ранее все работало и с маской /11 !!, микротик маску ниже /16 в принципе не хочет.

arastegaev писал(а):хотите что бы все со всех сетей видели друг друга?

да.
хотя достаточно чтобы один видел ВСЕХ (но это не зайвол), это решилось через тоннель с маской /17 и все видят друг друга.
но вот с микротиком какая-то принципиальная беда!
1. если сделать его локальную адресацию входящей в маску удаленной сети в тоннеле 172.27.0.0/17 (ну например локальная сеть 172.27.88.0/24), то он просто пропадает из локальной сети, до него никак не достучаться, в зикселях это лечилось доп. командой которая в автоэкзек скрипт прописывалась, в д-линках такой проблемы в принципе нет.
2. я уже запутался как на нем его правильно настраивать, то тоннель есть, то нет, но даже если есть, ничего кроме пинга на удаленный роутер (зайволл) не ходит, один раз удалось пробить на роутер https трафик (ну зайти на вебморду)
но после сто раз менял настройки и уже ничего не получается.... %%%%%%%%%%%%% ((((((((
настраивал по многочисленным инструкциям с инета, которые практически одинаковы, но видимо там либо что-то недописали, либо .... ???
вот трафик удалось пробить после настройки роутинга на стороне микротика, сеть 172.27.0.0/17 на интерфейс ether1 (WAN), что есть странно, но интерфейса ipsec у микротика нет и не знаю когда появится вообще.
в НАТ правило под туннель настраивал, но почему-то там пакеты не "тикают", хотя запущен пинг, только при первом запуске считается как один пакет и дальше не считает, вот и пойми идут пакеты или не идут...

сейчас уже что-то не получается заставить работать его. то ли лыжи не едут, то ли ... не знаю....


ERge
Сообщения: 12
Зарегистрирован: 02 фев 2016, 03:52

Чтобы было понятно, настройка соединения со стороны ZyWall
Изображение
из сети 172.27.23.0/24 доступна вся сеть 172.27.0.0/17 через этот туннель.


ERge
Сообщения: 12
Зарегистрирован: 02 фев 2016, 03:52

В общем схема сети примерно такая

Изображение

Думаю так понятнее?

все работает с маской сети /17 в туннеле со стороны зайвола
зайвол видит всех, в свою очередь все видят друг друга через зайвол.

проблема с микротиком, тоннель настроил, трафик не ходил.
да и почему-то в настройках peer параметр DH Group сампроизвольно с modp768 менялся на modp1024 , вот как??? :sh_ok:
проблему с хождением трафика нашел!
надо было на микротике в файрволе добавить правила в цепочку forward
я добавлял в winbox, в командах примерно так вроде будет выглядеть:

Код: Выделить всё

/ip firewall filter add chain=forward src-address=172.27.0.0/17 action=accept
/ip firewall filter add chain=forward dst-address=172.27.0.0/17 action=accept

и подвинуть их вверх.
и трафик пошел!
- с зайвола на микротик и за микротик (видны сервер и рабочая станция) и обратно с микротика на зайвол
и...
с РС, подключающейся по VPN L2TP на зайвол, на микротик и за него и обратно.

ниже я показал как сейчас все работает:
Изображение
соответственно цветовым стрелкам - все что объединены стрелками одного цвета видят друг друга.
а хочется чтобы микротик так же видел ВСЕХ.

с РС на микротик ходит потому что винда по умолчанию весь трафик пихает в VPN L2TP, т.е. на ZyWall а зайвол через впн на микротик.
НО... другие сети микротику не доступны и соответственно наоборот и я так понимаю потому что они ничего не знают про микротик (т.к. в Policy у них Dst.Address: 172.27.0.0/17) и соответственно куда слать пакеты на него..??
и как решить эту проблему?
роутинг в IPSec на зюхелях настроить невозможно, так же как на IP 172.27.64.1 :(

один выход? переместить туннель микротика в адресацию 172.27.0.0/17, ну т.е. например со стороны микротика 172.27.88.0/24, но тогда если у него локальная сеть с такой же адресацией он становится недоступным! :-(
как его сделать видимым???
а если локальная сеть с другой адресацией то как настроить связь туннеля с локальной сетью (подмену IP адресов)
допустим 172.27.88.4 на 192.168.88.4 и т.д.? это конечно кривовато... но вариант.


ERge
Сообщения: 12
Зарегистрирован: 02 фев 2016, 03:52

PS: прошу прощения, немного неправильно нарисовал по L2TP соединению
на винде в L2TP роутятся сети 172.27.0.0/17 и конечно же 192.168.88.0/24, + еще 88.147.0.0/16 (на зайволе для этого роутинг на внешний интерфейс, т.к. необходимо заходить на конечные точки как из подсети провайдера в которой они есть, не везде они еще настроены и ограничены доступом с подсети провайдера)


Ответить