Добрый день, своих знаний, видимо, не достаточно для настройки, поэтому решил поискать помощи тут.
Есть микротик за NAT (с серым ip), есть сервер strongswan IKEv2 (обязательное условие).
Гугление дает в основном примеры когда микротик responder и без NAT, а все попытки настроить своими силами закончились неудачей (знаний чтобы понять причину по логам не хватило), поэтому хотелось бы от чего то отталкиваться и настраивать по аналогии, поэтому может быть кто-то сможет скинуть ссылку или привести рабочий пример с подобной настройкой.
Чтобы было более понятно уточню что вообще хотелось бы получить - хотелось бы выпускать отдельные Ip адреса (не все) за микротиком через ipsec тунель в интернет (сетям за микротик и за strongswan между собой общаться не обязательно, даже нежелательно).
инициатор ipsec ikev2 (не назначается IP)
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 6
- Зарегистрирован: 23 фев 2018, 18:15
-
- Сообщения: 6
- Зарегистрирован: 23 фев 2018, 18:15
Все же удалось как то заставить работать на тестовом оборудовании...
Ipsec успешно соединяется, генерируются политики, но ipsec трафика нет, до тех пор пока я не назначаю вручную на интерфейс Mikrotik Virtual IP, который выдает Strongswan (ну и маршрут).
После этого трафик mikrotik начинает ходить в интернет через ipsec.
Подскажите это баг с неназначением ip или я все же что то неправильно настраиваю?
Возможно этот вопрос не попадает в категорию "FAQ (Для начинающих)", но я не стал создавать новую тему, просьба модераторам перенести в нужную ветку если необходимо.
a.b.c.d - внешний адрес Strongswan
172.17.2.0/24 - пул выдачи Vitrual ip
Настройки Mikrotik (NAT не настроен)
На всякий случай настройки Strongswan
Лог
Ipsec успешно соединяется, генерируются политики, но ipsec трафика нет, до тех пор пока я не назначаю вручную на интерфейс Mikrotik Virtual IP, который выдает Strongswan (ну и маршрут).
Код: Выделить всё
add address=172.17.2.1 interface=bridge network=172.17.2.1
add distance=1 gateway=bridge pref-src=172.17.2.1
Подскажите это баг с неназначением ip или я все же что то неправильно настраиваю?
Возможно этот вопрос не попадает в категорию "FAQ (Для начинающих)", но я не стал создавать новую тему, просьба модераторам перенести в нужную ветку если необходимо.
a.b.c.d - внешний адрес Strongswan
172.17.2.0/24 - пул выдачи Vitrual ip
Настройки Mikrotik (NAT не настроен)
Код: Выделить всё
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1,md5 enc-algorithms="aes-256-cbc,aes-256-c\
tr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
es-128-gcm" name=ipsec pfs-group=none
/ip ipsec peer
add address=a.b.c.d/32 auth-method=rsa-signature certificate=\
vpnHostCert.der_0 dh-group=modp1024 exchange-mode=ike2 generate-policy=\
port-strict mode-config=request-only
Код: Выделить всё
cat /etc/strongswan/swanctl/swanctl.conf
connections {
ikev2-pubkey {
version = 2
proposals = default
rekey_time = 0s
pools = primary-pool-ipv4
fragmentation = yes
dpd_delay = 30s
local-1 {
auth = pubkey
certs = vpnHostCert.der
id = a.b.c.d
}
remote-1 {
auth = pubkey
}
children {
ikev2-pubkey {
local_ts = 0.0.0.0/0
rekey_time = 0s
dpd_action = clear
esp_proposals = default
}
}
}
}
pools {
primary-pool-ipv4 {
addrs = 172.17.2.0/24
dns = 8.8.8.8, 8.8.4.4
split_exclude = 172.16.0.0/12
}
}
Код: Выделить всё
удалено