750Gr3 + Dlink 804HV Ipsec нет доступа к сети за Dlink

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Naiveboy
Сообщения: 0
Зарегистрирован: 17 окт 2017, 15:15

Добрый день.
Прошу помощи.
Тестовая схема: комп 192.168.60.151 -> Dlink 804hv(192.168.60.96/10.10.10.10) ---- Mikrotik 750Gr3(10.10.10.3/192.168.88.1) <- 192.168.88.150 комп. Решил потренироваться на кошках, прежде чем вмешиваться в рабочую сеть.
По мануалам в сети например (http://sanotes.ru/vpn-ipsec-mikrotik-dfl-860e/) поднял IPSec туннель между аппаратами. С компа 60,151 нормально пингую комп 88,150. Обратно не проходит. Чувствую что какая-то мелочь. но найти не могу.
Спасибо.
 export
# oct/17/2017 15:16:48 by RouterOS 6.40.4
# software id = URT0-1TP4
#
# model = RouterBOARD 750G r3
# serial number = 6F3807752F3F
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-wan
set [ find default-name=ether5 ] comment=LAN name=ether5-master-lan
/ip neighbor discovery
set ether1-wan discover=no
/interface ethernet
set [ find default-name=ether2 ] master-port=ether5-master-lan
set [ find default-name=ether3 ] master-port=ether5-master-lan
set [ find default-name=ether4 ] master-port=ether5-master-lan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=des name=804 pfs-group=none
/ip address
add address=192.168.88.1/24 interface=ether5-master-lan network=192.168.88.0
add address=10.10.10.3/24 interface=ether1-wan network=10.10.10.0
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1,8.8.8.8
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=drop chain=input comment="drop invalid connection" connection-state=\
invalid connection-type=""
add action=drop chain=forward comment="drop invalid connection" \
connection-state=invalid connection-type=""
add action=accept chain=input comment="Allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=accept chain=input comment=\
"allow established and related connection" connection-state=\
established,related
add action=accept chain=forward comment=\
"allow established and related connection" connection-state=\
established,related
add action=accept chain=forward comment="NAT forward" out-interface=ether1-wan
add action=drop chain=input comment="drop all input WAN" in-interface=\
ether1-wan
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.60.0/24 log=yes src-address=\
192.168.88.0/24
add action=masquerade chain=srcnat out-interface=ether1-wan
/ip ipsec peer
add address=10.10.10.10/32 dh-group=modp1024 enc-algorithm=des hash-algorithm=\
md5 secret=123456789
/ip ipsec policy
set 0 proposal=804
add dst-address=192.168.60.0/24 proposal=804 sa-dst-address=10.10.10.10 \
sa-src-address=10.10.10.3 src-address=192.168.88.0/24 tunnel=yes
/ip route
add comment="WAN route" distance=1 gateway=10.10.10.10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Office
/system ntp client
set enabled=yes primary-ntp=192.168.60.183 secondary-ntp=192.168.60.184
/system routerboard mode-button
set enabled=no on-event=""
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether5-master-lan
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether5-master-lan


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

а что то не видно маршрута от микротика в сторону длинка
и зачем нат от микротика в сторону длинка :-)


Naiveboy
Сообщения: 0
Зарегистрирован: 17 окт 2017, 15:15

Про нат я прочитал в статье https://wiki.rtzra.ru/software/mikrotik ... -vpn-ipsec
Разрешаем пакеты для внутренних сетей

Данное правило необходимо поставить первым, чтобы трафик не уходил куда попало!
IP → Firewall → NAT

Код: Выделить всё

> /ip firewall nat
> add chain=srcnat action=accept src-address=192.168.10.0/23 dst-address=192.168.20.0/24

В мануалах которые я указал, нет ничего про маршрут, а так как я начинающий, догадаться, что он нужен обязательно я не смог.


Ответить