ipsec ikev2 Не приходят маршруты клиентам

Обсуждение оборудования и его настройки
Ответить
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Имеем Mikrotik c настроенным ipsec+ikev2, windows 10 в качестве клиента подключается по сертификату. На сервере в splite include указал локальную сеть (192.168.10.0/24) для передачи маршрута клиентам. Но route print на клиенте, после подключения показывает что маршрута такого не пришло. Подскажите в чем накосячил ?
Настройки на сервере

Код: Выделить всё

/interface bridge
add name=bridge1
/interface list
add name=Lan
add name=Wan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ikev2-Group
/ip ipsec profile
add enc-algorithm=aes-256,aes-192,aes-128 name=ikev2
/ip ipsec peer
add exchange-mode=ike2 name=ikev2-peer passive=yes profile=ikev2
/ip ipsec proposal
add name=ikev2 pfs-group=none
/ip pool
add name=dhcp_pool1 ranges=192.168.10.2-192.168.10.254
add name=ike2-Pool ranges=10.0.77.2-10.0.77.22
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/ip ipsec mode-config
add address-pool=ike2-Pool address-prefix-length=32 name=ike2-conf \
    split-include=192.168.10.0/24 system-dns=no
/certificate settings
set crl-download=yes crl-use=yes
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=Lan
/interface list member
add comment=INTERNET interface=ether1 list=Wan
add comment=LOKALKA interface=ether2 list=Lan
add interface=ether3 list=Lan
add interface=ether4 list=Lan
add interface=bridge1 list=Lan
/ip address
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
/ip dhcp-client
add disabled=no interface=ether1 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8
/ip dns static
add address=127.0.0.1 name=vk.com
add address=10.0.137.51 name=certikev2.ru
/ip firewall filter
route print на клиенте

Изображение


Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

У меня прилетает. Но у меня клиент не родной виндовый. Попробуй другой клиент. Чисто для примера FortiClient если на винду. Через него у меня прилетает.


dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Ок спасибо за совет, попробую и отпишусь!


dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Нашел почему при подключении к mikrotik (ipsec+ikev2) клиент Windows не получает маршрут - мешает фаервол (при отключенных правилах марщрут прилетает на клиента без проблем).

Мой фаервол (связка крутится на pnetlab)

0 chain=input action=accept connection-state=established,related log=no
log-prefix=""

1 chain=input action=accept protocol=udp in-interface-list=Lan dst-port=53
log=no log-prefix=""

2 chain=input action=accept protocol=tcp in-interface-list=Lan dst-port=8291
log=no log-prefix=""

3 chain=input action=accept protocol=udp dst-port=4500,500 log=no
log-prefix=""

4 chain=input action=drop log=no log-prefix=""

5 chain=forward action=accept connection-state=established,related log=no
log-prefix=""

6 chain=forward action=accept protocol=tcp in-interface-list=Lan
out-interface-list=Wan dst-port=80,443 log=no log-prefix=""

7 chain=forward action=accept protocol=ipsec-esp in-interface=ether1 log=no
log-prefix="" ipsec-policy=in,ipsec

8 chain=forward action=drop log=no log-prefix=""

Подскажите где накосячил ?


dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

разобрался - актуальные настройки фаервола для mikrotik ipsec+ikev2.
Все работает клиенту прилетают настройки маршрутов через split Include

0 chain=input action=accept connection-state=established,related log=no
log-prefix=""

1 chain=input action=accept protocol=udp in-interface-list=Lan dst-port=53
log=no log-prefix=""

2 chain=input action=accept protocol=tcp in-interface-list=Lan dst-port=8291
log=no log-prefix=""

3 chain=input action=accept protocol=udp in-interface-list=Wan
dst-port=4500,500 log=no log-prefix=""

4 chain=input action=accept protocol=ipsec-esp in-interface-list=Wan log=no
log-prefix=""

5 chain=input action=drop log=yes log-prefix=""

6 chain=forward action=accept connection-state=established,related log=no
log-prefix=""

7 chain=forward action=accept protocol=tcp in-interface-list=Lan
out-interface-list=Wan dst-port=80,443 log=no log-prefix=""

8 chain=forward action=accept protocol=ipsec-esp in-interface-list=Wan log=no
log-prefix="" ipsec-policy=in,ipsec


dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Проблема решена, можно закрывать


Ответить