VPN Tunnel L2TP/IpSec

Обсуждение оборудования и его настройки
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Тогда еще вопросик. Возможно ли мониторить, либо логинг посмотреть, что и где дропится и на каком этапе ?
Спасибо.


cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Интересно, а может промежуточных шлюз провайдера резать пакеты, вот что было замечено:
PS C:\> tracert -d 10.47.1.204

Tracing route to 10.47.1.204 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.1.1
2 14 ms 2 ms 15 ms 10.83.255.126
3 * * * Request timed out.
4 * * * Request timed out.
5 * * PS C:\>
PS C:\> tracert -d 10.47.1.202

Tracing route to 10.47.1.202 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.1.1
2 PS C:\>
PS C:\> tracert -d 10.47.1.201

Tracing route to 10.47.1.201 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.1.1
2 * * PS C:\>
PS C:\> tracert -d 10.47.1.204

Tracing route to 10.47.1.204 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.1.1
2 * * * Request timed out.
3 * * * Request timed out.
4 * * PS C:\> 5GTYEELY


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

в Трассеровке шлюз провайдера не должно быть.....

почему? почему при запросе сети 10.47 у вас уходить на шлюз?
Так,
а) какие маршруты и как прописаны ?
б) маршруты серых своих сетей на провайдеров убрали(2 раза просил сделать)...

Ну хватить вокруг да около....

При трассеровки вы должны видеть айпи туннелей и свои сети...всё остальное (особенно провайдеровское) при взаимодействии между
филиалами не должно видно быть...в этом и сущность туннелей....филиалы думают что они рядом...

Вот Вам пример маршрута! (у меня на кореша прописан маршрут,чтобы я до его домашней сети (192.168.88.0/24) со своей доходил)

Код: Выделить всё

add check-gateway=arp comment="DEYMOS-homenet via GRE-tunl" distance=1 dst-address=192.168.88.0/24 gateway="gre-tun03-to-PP-DEYMOS (L-via-RTK)" pref-src=192.168.25.2

Код: Выделить всё

C:\>tracert -d 192.168.88.1
Трассировка маршрута к 192.168.88.1 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  192.168.25.2
  2     1 ms     1 ms     1 ms  192.168.88.1
Трассировка завершена.

Вот как работает трасерт (провайдера и в помине нету)

P.S. (добавил примеры)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Первый Роутер
/ip ipsec peer
add address=188.187.63.63/32 local-address=0.0.0.0 nat-traversal=no
/ip ipsec policy
add dst-address=192.168.1.0/24 ipsec-protocols=ah-esp sa-dst-address=\
188.187.63.63 sa-src-address=85.143.190.70 src-address=10.47.0.0/22 tunnel=\
yes
/ip route
add check-gateway=ping distance=1 gateway=85.143.190.1
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1

Второй роутер
dd address=85.143.190.70/32 dpd-interval=1m enc-algorithm=aes-256,aes-128,3des local-address=0.0.0.0 nat-traversal=no policy-template-group=vpn
/ip ipsec policy
set 0 disabled=yes dst-address=10.47.1.0/24 group=vpn src-address=192.168.1.0/24
add dst-address=10.47.0.0/22 ipsec-protocols=ah-esp sa-dst-address=85.143.190.70 sa-src-address=188.187.63.63 src-address=192.168.1.0/24 tunnel=yes
/ip route
add distance=1 dst-address=10.47.0.0/22 gateway=pppoe-out1


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

cobion писал(а):Первый Роутер
/ip route
add check-gateway=ping distance=1 gateway=85.143.190.1
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1

Вот нафига, нафига Вы гоните на провайдера свою сеть?(жирным выделил) Воооот я понять не могу? Вам что провайдер делает соединение филиалов?
НУ уже 5й раз пытаюсь объяснить..и прошу убрать данный маршрут...Нафига я всё пишу...????
Мы(вы) поверх вашего соединения, поверх связи существующей натягиваем (вы натянули связь)
сделали это через туннель, туннель это отдельный интерфейс, почему почему вы загоняете свою сеть в чужую (ether1) дырку?
Вот так примерно должно быть:
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ИМЯ_ТУННЕЛЯ должно быть НО НЕ провайдера!!!!!!!!!!!!!!!!!!!!!!!!!!!

cobion писал(а):Второй роутер
/ip route
add distance=1 dst-address=10.47.0.0/22 gateway=pppoe-out1

Тут тоже, нафига провайдеру ваша 10.47.ххххх ? Он пакеты от неё грохает...
Вот так примерно должно быть:
add distance=1 dst-address=10.47.0.0/22 gateway=ИМЯ_ТУННЕЛЯ

или вместо имени ИМЯ_ТУННЕЛЯ IP-адрес противоположного узла этого туннеля!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

тут я немного запутался IWR тунеля .
У меня два интерфейса на каждом из роутеров
На первом
pppoe-out1 0 это 188.187.63.63
ether2-master 192.168.1.1

На втором
Ether1 85.143.190.70
Ether2-master 10.47.1.99

Какой из них ставить ?


cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Имя туннеля где мне посмотреть то ?
У меня тунель между роутерами настроен через IpSec. Где мне это имя туннеля взять, я непойму ? Я создал статический роутинг в противоположную подсеть. Как мне выходить впротивоположную подсетку, через внешний интерфейс же , нет ?
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1 - это с роутера из сети 10.47.0.0. Мне же нужен маршрут до 192.168.1.0/24 правильно ?
Можете объяснить ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

cobion писал(а):тут я немного запутался IWR тунеля .
У меня два интерфейса на каждом из роутеров
На первом
pppoe-out1 0 это 188.187.63.63
ether2-master 192.168.1.1
На втором
Ether1 85.143.190.70
Ether2-master 10.47.1.99
Какой из них ставить ?

Туннель это ваше L2TP соединение....или ваш IPSec или что у вас поднято?
(кроме внешнего соединения с провайдером, кроме локального адресов у роутеров, у вас должен быть туннель(интерфейс) или соединение, вот его и надо использовать.
В теме у вас написано туннель L2TP...значит я понимаю что вы поднимали и он у вас есть в наличии?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Может быть неправильно сформулировал, я поднял просто IPsec и все! L2TP я не поднимал!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

cobion писал(а):Может быть неправильно сформулировал, я поднял просто IPsec и все! L2TP я не поднимал!

давайте пока не будем трогать L2TP, коли поднят IPSec
прямо щас создайте самый простой туннель IPIP
просто сделай его и маршруты через туннель IPIP пропишите на серые сети противоположных сетей...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить