инициатор ipsec ikev2 (не назначается IP)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
mocr
Сообщения: 6
Зарегистрирован: 23 фев 2018, 18:15

Добрый день, своих знаний, видимо, не достаточно для настройки, поэтому решил поискать помощи тут.

Есть микротик за NAT (с серым ip), есть сервер strongswan IKEv2 (обязательное условие).
Гугление дает в основном примеры когда микротик responder и без NAT, а все попытки настроить своими силами закончились неудачей (знаний чтобы понять причину по логам не хватило), поэтому хотелось бы от чего то отталкиваться и настраивать по аналогии, поэтому может быть кто-то сможет скинуть ссылку или привести рабочий пример с подобной настройкой.
Чтобы было более понятно уточню что вообще хотелось бы получить - хотелось бы выпускать отдельные Ip адреса (не все) за микротиком через ipsec тунель в интернет (сетям за микротик и за strongswan между собой общаться не обязательно, даже нежелательно).
Последний раз редактировалось mocr 02 апр 2018, 15:02, всего редактировалось 1 раз.


mocr
Сообщения: 6
Зарегистрирован: 23 фев 2018, 18:15

Все же удалось как то заставить работать на тестовом оборудовании...

Ipsec успешно соединяется, генерируются политики, но ipsec трафика нет, до тех пор пока я не назначаю вручную на интерфейс Mikrotik Virtual IP, который выдает Strongswan (ну и маршрут).

Код: Выделить всё

add address=172.17.2.1 interface=bridge network=172.17.2.1
add distance=1 gateway=bridge pref-src=172.17.2.1
После этого трафик mikrotik начинает ходить в интернет через ipsec.

Подскажите это баг с неназначением ip или я все же что то неправильно настраиваю?
Возможно этот вопрос не попадает в категорию "FAQ (Для начинающих)", но я не стал создавать новую тему, просьба модераторам перенести в нужную ветку если необходимо.

a.b.c.d - внешний адрес Strongswan
172.17.2.0/24 - пул выдачи Vitrual ip

Настройки Mikrotik (NAT не настроен)

Код: Выделить всё

/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1,md5 enc-algorithms="aes-256-cbc,aes-256-c\
    tr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" name=ipsec pfs-group=none

/ip ipsec peer
add address=a.b.c.d/32 auth-method=rsa-signature certificate=\
    vpnHostCert.der_0 dh-group=modp1024 exchange-mode=ike2 generate-policy=\
    port-strict mode-config=request-only
На всякий случай настройки Strongswan

Код: Выделить всё

cat /etc/strongswan/swanctl/swanctl.conf

connections {
    ikev2-pubkey {
        version = 2
        proposals = default
        rekey_time = 0s
        pools = primary-pool-ipv4
        fragmentation = yes
        dpd_delay = 30s
        local-1 {
            auth = pubkey
            certs = vpnHostCert.der
            id = a.b.c.d
        }
        remote-1 {
            auth = pubkey
        }
        children {
            ikev2-pubkey {
                local_ts = 0.0.0.0/0
                rekey_time = 0s
                dpd_action = clear
                esp_proposals = default
            }
        }
    }
}

pools {
    primary-pool-ipv4 {
        addrs = 172.17.2.0/24
        dns = 8.8.8.8, 8.8.4.4
        split_exclude = 172.16.0.0/12
    }
}
Лог

Код: Выделить всё

удалено 


Ответить