cisco asa - sitetosite - rb750 gr

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

Доброго времени суток.
Запустился у меня usb модем. Cпасибо за что огромное Dragon_Knight.
Весь день по мануалам собирал задачу cisco asa (статика от прова) - site-to-site - mikrotik (динамика)
Реально ли заставить бегать пакеты в туннели при такой конфигурации или же необходимо статику с обоих сторон ?
По мануалам поднялся у меня туннель.
В remote peers все норм. Висит Established с аптаймом подключения.
Теперь надо что бы пакетики бегали в туннели.
По умолчанию пров дает ip динамику 192.168.1.100/24; gw 192.168.1.1
После того как туннель поднялся, добавляю маршрут.
Где gw указываю созданный интерфейс ipsec, но ведь пров дает динамику, поэтому в разделе local address указывается 192.168.1.100.
Или я не правильно чего накумекал ?
Поправьте меня плз.
Если с динамикой должно взлететь, какой конф показать ибо у меня пакеты не бегают в туннели.(firewall, nat, ipsec rules) ?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

qbk писал(а):Реально ли заставить бегать пакеты в туннели при такой конфигурации или же необходимо статику с обоих сторон ?

заставить реально, но при каждой смене адреса заставлять придется заново

qbk писал(а):По умолчанию пров дает ip динамику 192.168.1.100/24; gw 192.168.1.1

т.е. вы живете за NAT-ом провайдера? или приватный адрес приведен в качестве примера?


qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

Все правильно, живу за натом провайдера. Свисток USB , sim beeline.


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

если за натом и нет возможности настроить проброс портов, то смотрите в сторону l2tp/ipsec vpn.


qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

На микротике пробросить порт, т.е возможность. Вы про 500 имеете ввиду ?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

да, только это делается на стороне оператора. Делайте l2tp+ipsec.


qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

Всем доброго дня.
И так таск от руководства все тот же.
cisco asa ( белый стат ip) и микротик rb750gr и нему usb модем 4g билайна.
Суть такая что между основным офисом за cisco и регионом необходимо было сделать site-to-site.
По модему дали статику серую т.е сколько раз стик не вытаскивай ip внешний мой будет без изменения. Но все равно я нахожусь за натом стика.
Т.е в ноутбуке у меня ip 192.168.43.10 dg 192.168.43.1(cтик). Иначе говоря ***** NAT.
Офисов у меня таких где такая схема сети около 7 (к сожалению находятся в трудно доступных регионах и по 5-7 человека, оптику не рентабельно тянуть).
Поэтому на микротике я то же делаю NAT . И получается картина маслом cisco asa - стат белый человечкий ip - 4g NAT- микротик - NAT - пользователи.
site-to-sitе туннель строится, но через два ната пакетики не хотят.
Предложено поднять на asa l2tp/ipsec server, что вот сделно и протестено на ноутбуке, что все ок. Ip из пула получают + пакеты ходят как все надо.
И теперь самый главный вопрос . . . помогите линком или советом как на микротике грамотно настроить сие схему.
Как просто настроить l2tp/ipsec cleint я нашел, но это везде не про двойной нат или пофиг ?
Я уже закипел от таких манипуляций)
Спасибо кто может или даст совет.


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

qbk писал(а):я нашел, но это везде не про двойной нат или пофиг ?

пофиг


qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

Доброго. Продолжаю бой :)
Делаю interface + l2tp client.
В открывшемся окне dial out вбиваю connect ip l2tp servera. user и password соответственно заведенного на сервере + ставлю галочк на use ipsec и вбиваю key.
Далее оставлю галочки allow на mschap2 & chap. Apply. В правом низу висит connection и все.
В логах микротика

Код: Выделить всё

10:29:36 l2tp,ppp,info l2tp-out2: initializing...
10:29:36 l2tp,ppp,info l2tp-out2: connecting...
10:29:36 system,info device added by admin
10:29:37 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:29:38 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:75bc264277b976d6:4eb6fa9911d712e3
10:29:39 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500]spi=75bc264277b976d6:4eb6fa9911d712e3.
10:29:39 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:75bc264277b976d6:4eb6fa9911d712e3 rekey:1
10:29:48 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:29:50 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:00bbd29c1f57e164:7e9476ac9e422b95
10:29:50 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500]spi=00bbd29c1f57e164:7e9476ac9e422b95.
10:29:50 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:00bbd29c1f57e164:7e9476ac9e422b95 rekey:1
10:29:58 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:29:59 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:83c2c7b1a44f0236:1df162f3e647b241
10:29:59 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500]spi=83c2c7b1a44f0236:1df162f3e647b241.
10:29:59 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:83c2c7b1a44f0236:1df162f3e647b241 rekey:1
10:30:01 l2tp,ppp,info l2tp-out2: terminating... - session closed

192.168.1.100 реальный ip интерфейса микротика за стиком usb.
X.X.X.X - ip l2tp server соответственно.
В чем у меня затык ?
Отдельно стик включал в ноутбук цеплялся к серверу все ок. Затык именно в микротике.
up.
Подробный лог

Код: Выделить всё

10:29:36 l2tp,ppp,info l2tp-out2: initializing...
10:29:36 l2tp,ppp,info l2tp-out2: connecting...
10:29:36 system,info device added by admin
10:29:37 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:29:38 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:75bc264277b976d6:4eb6fa9911d712e3
10:29:39 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500]spi=75bc264277b976d6:4eb6fa9911d712e3.
10:29:39 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:75bc264277b976d6:4eb6fa9911d712e3 rekey:1
10:29:48 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:29:50 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:00bbd29c1f57e164:7e9476ac9e422b95
10:29:50 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500]spi=00bbd29c1f57e164:7e9476ac9e422b95.
10:29:50 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:00bbd29c1f57e164:7e9476ac9e422b95 rekey:1
10:29:58 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:29:59 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:83c2c7b1a44f0236:1df162f3e647b241
10:29:59 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500]spi=83c2c7b1a44f0236:1df162f3e647b241.
10:29:59 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:83c2c7b1a44f0236:1df162f3e647b241 rekey:1
10:30:01 l2tp,ppp,info l2tp-out2: terminating... - session closed
[11:02:33 AM] Vlad:
10:58:11 l2tp,ppp,info l2tp-out1: initializing...
10:58:11 l2tp,ppp,info l2tp-out1: connecting...
10:58:11 system,info device changed by admin
10:58:13 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:58:14 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:e358ec49f5eb0957:8357abbb43037a1d
10:58:14 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500] spi=e358ec49f5eb0957:8357abbb43037a1d.
10:58:14 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:e358ec49f5eb0957:8357abbb43037a1d rekey:1
10:58:15 l2tp,debug tunnel 5 received no replies, disconnecting
10:58:15 l2tp,debug tunnel 5 entering state: dead
10:58:15 l2tp,debug session 1 entering state: dead
10:58:15 l2tp,debug session 2 entering state: dead
10:58:15 l2tp,ppp,debug l2tp-out1: CCP close
10:58:15 l2tp,ppp,debug l2tp-out1: BCP close
10:58:15 l2tp,ppp,debug l2tp-out1: IPCP close
10:58:15 l2tp,ppp,debug l2tp-out1: IPV6CP close
10:58:15 l2tp,ppp,debug l2tp-out1: MPLSCP close
10:58:15 l2tp,ppp,info l2tp-out1: terminating... - session closed
10:58:15 l2tp,ppp,debug l2tp-out1: LCP lowerdown
10:58:15 l2tp,ppp,debug l2tp-out1: LCP down event in initial state
10:58:15 l2tp,ppp,info l2tp-out1: disconnected
10:58:15 l2tp,ppp,info l2tp-out1: initializing...
10:58:15 l2tp,ppp,info l2tp-out1: connecting...
10:58:15 l2tp,ppp,debug l2tp-out1: CCP close
10:58:15 l2tp,ppp,debug l2tp-out1: BCP close
10:58:15 l2tp,ppp,debug l2tp-out1: IPCP close
10:58:15 l2tp,ppp,debug l2tp-out1: IPV6CP close
10:58:15 l2tp,ppp,debug l2tp-out1: MPLSCP close
10:58:15 l2tp,ppp,info l2tp-out1: terminating... - old tunnel is not closed yet
10:58:15 l2tp,ppp,debug l2tp-out1: LCP lowerdown
10:58:15 l2tp,ppp,debug l2tp-out1: LCP down event in initial state
10:58:15 l2tp,ppp,info l2tp-out1: disconnected
10:58:15 l2tp,ppp,info l2tp-out1: initializing...
10:58:15 l2tp,ppp,info l2tp-out1: connecting...
10:58:15 l2tp,debug tunnel 6 entering state: wait-ctl-reply
10:58:15 l2tp,debug,packet sent control message to X.X.X.X:1701 from 0.0.0.0:1701
10:58:15 l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
10:58:15 l2tp,debug,packet     (M) Message-Type=SCCRQ
10:58:15 l2tp,debug,packet     (M) Protocol-Version=0x01:00
10:58:15 l2tp,debug,packet     (M) Framing-Capabilities=0x1
10:58:15 l2tp,debug,packet     (M) Bearer-Capabilities=0x0
10:58:15 l2tp,debug,packet     Firmware-Revision=0x1
10:58:15 l2tp,debug,packet     (M) Host-Name="MikroTik"
10:58:15 l2tp,debug,packet     Vendor-Name="MikroTik"
10:58:15 l2tp,debug,packet     (M) Assigned-Tunnel-ID=6
10:58:15 l2tp,debug,packet     (M) Receive-Window-Size=4
10:58:16 l2tp,debug,packet sent control message to X.X.X.X:1701 from 0.0.0.0:1701
10:58:16 l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
10:58:16 l2tp,debug,packet     (M) Message-Type=SCCRQ
10:58:16 l2tp,debug,packet     (M) Protocol-Version=0x01:00
10:58:16 l2tp,debug,packet     (M) Framing-Capabilities=0x1
10:58:16 l2tp,debug,packet     (M) Bearer-Capabilities=0x0
10:58:16 l2tp,debug,packet     Firmware-Revision=0x1
10:58:16 l2tp,debug,packet     (M) Host-Name="MikroTik"
10:58:16 l2tp,debug,packet     Vendor-Name="MikroTik"
10:58:16 l2tp,debug,packet     (M) Assigned-Tunnel-ID=6
10:58:16 l2tp,debug,packet     (M) Receive-Window-Size=4
10:58:17 l2tp,debug,packet sent control message to X.X.X.X:1701 from 0.0.0.0:1701
10:58:17 l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
10:58:17 l2tp,debug,packet     (M) Message-Type=SCCRQ
10:58:17 l2tp,debug,packet     (M) Protocol-Version=0x01:00
10:58:17 l2tp,debug,packet     (M) Framing-Capabilities=0x1
10:58:17 l2tp,debug,packet     (M) Bearer-Capabilities=0x0
10:58:17 l2tp,debug,packet     Firmware-Revision=0x1
10:58:17 l2tp,debug,packet     (M) Host-Name="MikroTik"
10:58:17 l2tp,debug,packet     Vendor-Name="MikroTik"
10:58:17 l2tp,debug,packet     (M) Assigned-Tunnel-ID=6
10:58:17 l2tp,debug,packet     (M) Receive-Window-Size=4
10:58:19 l2tp,debug,packet sent control message to X.X.X.X:1701 from 0.0.0.0:1701
10:58:19 l2tp,debug,packet     tunnel-id
 =0, session-id=0, ns=0, nr=0
10:58:19 l2tp,debug,packet     (M) Message-Type=SCCRQ
10:58:19 l2tp,debug,packet     (M) Protocol-Version=0x01:00
10:58:19 l2tp,debug,packet     (M) Framing-Capabilities=0x1
10:58:19 l2tp,debug,packet     (M) Bearer-Capabilities=0x0
10:58:19 l2tp,debug,packet     Firmware-Revision=0x1
10:58:19 l2tp,debug,packet     (M) Host-Name="MikroTik"
10:58:19 l2tp,debug,packet     Vendor-Name="MikroTik"
10:58:19 l2tp,debug,packet     (M) Assigned-Tunnel-ID=6
10:58:19 l2tp,debug,packet     (M) Receive-Window-Size=4
10:58:23 l2tp,debug,packet sent control message to X.X.X.X:1701 from 0.0.0.0:1701
10:58:23 l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
10:58:23 l2tp,debug,packet     (M) Message-Type=SCCRQ
10:58:23 l2tp,debug,packet     (M) Protocol-Version=0x01:00
10:58:23 l2tp,debug,packet     (M) Framing-Capabilities=0x1
10:58:23 l2tp,debug,packet     (M) Bearer-Capabilities=0x0
10:58:23 l2tp,debug,packet     Firmware-Revision=0x1
10:58:23 l2tp,debug,packet     (M) Host-Name="MikroTik"
10:58:23 l2tp,debug,packet     Vendor-Name="MikroTik"
10:58:23 l2tp,debug,packet     (M) Assigned-Tunnel-ID=6
10:58:23 l2tp,debug,packet     (M) Receive-Window-Size=4
10:58:23 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:58:24 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:d697ff4ee6d5d044:0bcf082ce10785ee
10:58:24 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500] spi=d697ff4ee6d5d044:0bcf082ce10785ee.
10:58:24 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:d697ff4ee6d5d044:0bcf082ce10785ee rekey:1
10:58:31 l2tp,debug,packet sent control message to X.X.X.X:1701 from 0.0.0.0:1701
10:58:31 l2tp,debug,packet     tunnel-id=0, session-id=0, ns=0, nr=0
10:58:31 l2tp,debug,packet     (M) Message-Type=SCCRQ
10:58:31 l2tp,debug,packet     (M) Protocol-Version=0x01:00
10:58:31 l2tp,debug,packet     (M) Framing-Capabilities=0x1
10:58:31 l2tp,debug,packet     (M) Bearer-Capabilities=0x0
10:58:31 l2tp,debug,packet     Firmware-Revision=0x1
10:58:31 l2tp,debug,packet     (M) Host-Name="MikroTik"
10:58:31 l2tp,debug,packet     Vendor-Name="MikroTik"
10:58:31 l2tp,debug,packet     (M) Assigned-Tunnel-ID=6
10:58:31 l2tp,debug,packet     (M) Receive-Window-Size=4
10:58:33 ipsec,info initiate new phase 1 (Identity Protection): 192.168.1.100[500]<=>X.X.X.X[500]
10:58:34 ipsec,info ISAKMP-SA established 192.168.1.100[4500]-X.X.X.X[4500] spi:fc4223394b957712:15532d82d274356b
10:58:35 ipsec,info purging ISAKMP-SA 192.168.1.100[4500]<=>X.X.X.X[4500] spi=fc4223394b957712:15532d82d274356b.
10:58:35 ipsec,info ISAKMP-SA deleted 192.168.1.100[4500]-X.X.X.X[4500] spi:fc4223394b957712:15532d82d274356b rekey:1
10:58:39 l2tp,debug tunnel 6 received no replies, disconnecting
10:58:39 l2tp,debug tunnel 6 entering state: dead
10:58:39 l2tp,debug session 1 entering state: dead
10:58:39 l2tp,ppp,debug l2tp-out1: CCP close
10:58:39 l2tp,ppp,debug l2tp-out1: BCP close
10:58:39 l2tp,ppp,debug l2tp-out1: IPCP close
10:58:39 l2tp,ppp,debug l2tp-out1: IPV6CP close
10:58:39 l2tp,ppp,debug l2tp-out1: MPLSCP close
10:58:39 l2tp,ppp,info l2tp-out1: terminating... - session closed
10:58:39 l2tp,ppp,debug l2tp-out1: LCP lowerdown
10:58:39 l2tp,ppp,debug l2tp-out1: LCP down event in initial state
10:58:39 l2tp,ppp,info l2tp-out1: disconnected

I need help :)


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Покажите
1.firewall mikrotik
2.hash(auth) & encryption & group asa. А лучше настройки l2tp на asa


Ответить