Доброго времени суток. Весь мозг себе сломал.
Имею rb750up. Нужно настроить ipsec vpn с cisco.
Топология следующая:
z.x.c.v внешний адрес циски
q.w.e.r внешний адрес микротика
10.255.0.0/24 сеть пользователями за циской
10.255.100.0/24 сеть с пользователями за микротиком
Сеть 10.255.0.0/24<--->10.255.0.1 @Cisco@ z.x.c.v<--inet-->q.w.e.r @rb750up@ 10.255.100.1 <---> Сеть 10.255.100.0/24
Циска отконфигурена, настроена и работает. Проверял связкой racoon+setkey.
Собственно конфиг с микротика.
[admin@MikroTik] /ip ipsec peer> print
0 address=z.x.c.v/32 port=500 auth-method=pre-shared-key secret="секретное слово" generate-policy=yes exchange-mode=main send-initial-contact=yes nat-traversal=no my-id-user-fqdn="" proposal-check=strict
hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=268435456 dpd-interval=2m dpd-maximum-failures=10
[admin@MikroTik] /ip ipsec proposal> print
0 name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=1h pfs-group=modp1024
[admin@MikroTik] /ip ipsec policy> print
0 src-address=10.255.100.0/24 src-port=any dst-address=10.255.0.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=q.w.e.r sa-dst-address=z.x.c.v
proposal=default priority=0
Собственно девственно чистый нат, за исключением нужного правила:
0 chain=srcnat action=accept
1 chain=srcnat action=accept src-address=10.255.100.0/24
dst-address=10.255.0.0/24
2 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-gateway
От пингов циска закрыта. В IP->IPsec-> Remote peers строчки с удалённым пиром нет. Я так понимаю, что микротик сам не кидает первый пакет, то есть не инициирует соединение. В чём грабли?!
rb750up+cisco
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
тут не смотрели? человек вроде как успешно поднимал то что ему нужно.
viewtopic.php?f=3&t=3662&hilit=ipsec+cisco
log по ipsec топику не запускали на мтике? что циска говорит в своих логах?
viewtopic.php?f=3&t=3662&hilit=ipsec+cisco
log по ipsec топику не запускали на мтике? что циска говорит в своих логах?
-
- Сообщения: 8
- Зарегистрирован: 30 июл 2013, 11:24
Да спасибо посмотрел. Уникальным уровень выставил изначально.
log по ipsec топику не запускали на мтике? Как это сделать?
Самое интересное, что циска вообще ничего не видит от микротика.
log по ipsec топику не запускали на мтике? Как это сделать?
Самое интересное, что циска вообще ничего не видит от микротика.
-
- Сообщения: 8
- Зарегистрирован: 30 июл 2013, 11:24
Более того, имею мнение, что сам мтик не хочет соединение устанавливать. Если хотел то писал бы в логах, что то типа "conection peer" .... в таком духе. А там в пусто.
пысы Было похожее при поднятии openvpn на длинк дср250, поддержка опции оборудованием есть , но не работала.
пысы Было похожее при поднятии openvpn на длинк дср250, поддержка опции оборудованием есть , но не работала.
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
webmins писал(а):log по ipsec топику не запускали на мтике? Как это сделать?
Код: Выделить всё
/system logging add topics=ipsec action=memory
ну и идёте в Log, смотреть что там падает.
-
- Сообщения: 8
- Зарегистрирован: 30 июл 2013, 11:24
Jul/30/2013 14:51:06 memory system, info log rule added by admin
Jul/30/2013 14:51:15 memory system, info ipsec policy changed by admin
Jul/30/2013 14:51:17 memory system, info ipsec policy changed by admin
Jul/30/2013 14:51:22 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:22 memory ipsec, debug unbind ::ffff:q.w.e.r
Jul/30/2013 14:51:22 memory ipsec, debug unbind ::ffff:10.255.100.1
Jul/30/2013 14:51:22 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:22 memory system, info ipsec peer changed by admin
Jul/30/2013 14:51:32 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:32 memory ipsec, debug q.w.e.r[500] used as isakmp port (fd=15)
Jul/30/2013 14:51:32 memory ipsec, debug 10.255.100.1[500] used as isakmp port (fd=16)
Jul/30/2013 14:51:32 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:32 memory system, info ipsec peer changed by admin
Jul/30/2013 14:51:42 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:42 memory system, info ipsec proposal default changed by admin
Jul/30/2013 14:51:45 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:45 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:45 memory system, info ipsec proposal default changed by admin
Jul/30/2013 14:55:20 memory system, info, account user admin logged in from 10.255.100.96 via web
Вот что твориться в логах.
"Connection to peer"-ом даже не пахнет.
Jul/30/2013 14:51:15 memory system, info ipsec policy changed by admin
Jul/30/2013 14:51:17 memory system, info ipsec policy changed by admin
Jul/30/2013 14:51:22 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:22 memory ipsec, debug unbind ::ffff:q.w.e.r
Jul/30/2013 14:51:22 memory ipsec, debug unbind ::ffff:10.255.100.1
Jul/30/2013 14:51:22 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:22 memory system, info ipsec peer changed by admin
Jul/30/2013 14:51:32 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:32 memory ipsec, debug q.w.e.r[500] used as isakmp port (fd=15)
Jul/30/2013 14:51:32 memory ipsec, debug 10.255.100.1[500] used as isakmp port (fd=16)
Jul/30/2013 14:51:32 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:32 memory system, info ipsec peer changed by admin
Jul/30/2013 14:51:42 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:42 memory system, info ipsec proposal default changed by admin
Jul/30/2013 14:51:45 memory ipsec, debug flushed a lot of peer cfg, initializing cfg...
Jul/30/2013 14:51:45 memory ipsec, debug, packet installing phase2 config: id=0
Jul/30/2013 14:51:45 memory system, info ipsec proposal default changed by admin
Jul/30/2013 14:55:20 memory system, info, account user admin logged in from 10.255.100.96 via web
Вот что твориться в логах.
"Connection to peer"-ом даже не пахнет.
-
- Сообщения: 8
- Зарегистрирован: 30 июл 2013, 11:24
К слову. Интерфейс ipip1 имеется.
Вот принт.
0 R ipip1 1440 q.w.e.r z.x.c.v
Единственное не понятно каким макаром он привязывается к туннелю.
Если не трудно, то поясните пожалуйста.
Ведь по сути то он должен привязываться как-то.
Вот принт.
0 R ipip1 1440 q.w.e.r z.x.c.v
Единственное не понятно каким макаром он привязывается к туннелю.
Если не трудно, то поясните пожалуйста.
Ведь по сути то он должен привязываться как-то.
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну так вы же тунель задаете с конкретными адресами, а в ipsec указываете peer.
читайте тут, вроде как ваш случай: http://habrahabr.ru/post/151951/
читайте тут, вроде как ваш случай: http://habrahabr.ru/post/151951/
-
- Сообщения: 8
- Зарегистрирован: 30 июл 2013, 11:24
Согласен, случай почти мой. Только вместо хэш алгоритма md5 в пире я использую sha + режим работы моей удалённой циски tunnel.
Человек пишет что после настройки пира у него сразу высвечиваются строчки в remote peers. Это более чем странно. Ведь пока не пошлёшь пакет в удалённую сеть соединение не может быть установлено. Хотя может он туда пинг -т послал. ХЗ .... может я ошибаюсь.
Человек пишет что после настройки пира у него сразу высвечиваются строчки в remote peers. Это более чем странно. Ведь пока не пошлёшь пакет в удалённую сеть соединение не может быть установлено. Хотя может он туда пинг -т послал. ХЗ .... может я ошибаюсь.
-
- Сообщения: 8
- Зарегистрирован: 30 июл 2013, 11:24
И забыл совсем!!! В логах циски пусто, нет там инфы про желающих на неё зацепиться.
И очень интересует значение команды proposal check в ipsecpeer.
И очень интересует значение команды proposal check в ipsecpeer.