Одностроннее прохождение маршрута. Путаница с IPSec и IPIP туннелями

Обсуждение ПО и его настройки
Ответить
DemNZV
Сообщения: 6
Зарегистрирован: 27 июл 2020, 12:20

27 июл 2020, 14:06

Суть такова….. плохо знаю, то есть вообще не знаю Cisco, более-менее знаю Mikrotik.
Основным шлюзом стоит Циска. Через нее подключаются по VPN региональные сети и получают доступ к ресурсам головного офиса. Через нее головной офис получает Инет. Ставлю Asterisk в локальной сети головного офиса… регистрация у провайдера через Циску валится. Хочет – работает, хочет – не работает. Так и не нашел в чем проблема. Забил на Циску и поставил второй маршрутизатор – Mikrotik. На оборудовании провайдера попросил зеркало портов – дали.
Итак… схема прилагается
Cisco имеет белый IP – 178.16.10.218
Mikrotik (HQ) имеет белый IP – 178.16.10.219
Mikrotik (Regional) белый IP – 91.161.10.10
Настройки Циски не трогаем, ибо работает и никак не влияет на проблему.
Между Циской и Микротиком (регион) настроен IPSec. Между Микротом Головным и Региональным поднят IPIP туннель

Из головного офиса, через Микротик IPIP туннель, есть ping и traceroute от источника 192.168.101.13 до целевого сервера – 192.168.102.98. Обратно – нет. То есть, от 192.168.102.98 пингуется вход/выход IPIP тунеля 172.16.30.1 и 172.16.30.2. Дальше, до 192.168.101.13 идти отказывается. Где теряется маршрут?
 MikroTik-Regional
/system identity
set name=MikroTik-Regional

# Тут настройки для IPSec которые работают с Cisco (IP:178.16.10.218)========
/ip ipsec policy group
add name=MyGroup
/ip ipsec profile
add hash-algorithm=md5 name=MyProfile
/ip ipsec peer
add address=178.16.10.218/32 name=LeoPeer profile=MyProfile
/ip ipsec identity
add peer=LeoPeer policy-template-group=MyGroup secret=*PASSWORD*
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des name=MyProposal
/ip ipsec policy
set 0 proposal=MyProposal
add dst-address=192.168.101.0/24 peer=LeoPeer sa-dst-address=178.16.10.218 sa-src-address=91.191.10.10 src-address=192.168.102.0/24 tunnel=yes

# Настройки для туннеля IPIP
/interface ipip
add allow-fast-path=no ipsec-secret=*PASSWORD* name=ipip-tunnel1 remote-address=178.16.10.219

# Перечисление IP, в том числе и для IPIP туннеля
/ip address
add address=192.168.102.1/24 comment=defconf interface=bridge network=192.168.102.0
add address=91.191.10.10/30 comment="miralogic inet" interface=ether1 network=91.191.10.8
add address=172.16.30.2/30 interface=ipip-tunnel1 network=172.16.30.0

# Нужный адрес заворачиваю в туннель
/ip route
add distance=10 gateway=91.191.10.9
add distance=1 dst-address=192.168.101.13/32 gateway=ipip-tunnel1

# Маскарад для туннеля, как положенно, выше основного выхода в Инет
/ip firewall nat
add action=masquerade chain=srcnat log=yes out-interface=ipip-tunnel1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

/ip firewall filter
Фильты настроены "по-умолчанию" – работают. Тонкой настройкой займемся позже.....
С настройками Mikrotik (HQ) еще проще – поднят IPIP туннель и все
 Mikrotik-HQ
/system identity
set name=Mikrotik-HQ

/ip address
add address=192.168.101.3/24 interface=bridge network=192.168.101.0
add address=178.16.10.219/29 interface=ether1 network=178.16.10.216
add address=172.16.30.1/30 interface=ipip-tunnel1 network=172.16.30.0

/interface ipip
add allow-fast-path=no ipsec-secret=*PASSWORD* name=ipip-tunnel1 remote-address=91.191.10.10

/ip route
add distance=1 gateway=178.16.10.217
add distance=1 dst-address=192.168.102.98/32 gateway=ipip-tunnel1

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ipip-tunnel1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

Фильтры по-умолчанию….
По сути, задача сводится к тому, что бы два сервера работали исключительно через IPIP туннель, поднятый на микротиках. В одну сторону работает, а в другую...... Какие есть мысли?

Изображение


DemNZV
Сообщения: 6
Зарегистрирован: 27 июл 2020, 12:20

27 июл 2020, 14:28

Да! ... маршрут от HQ до Regional ессно прописан тоже - иначе бы не работало вообще .
/ip route
add distance=1 gateway=178.16.10.217
add distance=1 dst-address=192.168.102.98/32 gateway=ipip-tunnel1


DemNZV
Сообщения: 6
Зарегистрирован: 27 июл 2020, 12:20

27 июл 2020, 14:37

Самое смешное, ну для меня видимо, что Traceroute с обеих Микротиков работает исправно - показвает по два хопа
HQ (IP 192.168.101.3):
Traceroute to 192.168.102.98
1 172.16.30.2
2 192.168.102.98

Regional (IP 192.168.102.1)
Traceroute to 192.168.101.13
1 172.16.30.1
2 192.168.101.13


imaoskol
Сообщения: 81
Зарегистрирован: 11 янв 2019, 14:48

28 июл 2020, 13:12

tracert 192.168.102.98 c 192.168.101.13
и
с 192.168.101.13 до 192.168.102.98
хотелось бы увидеть. Трафик в тунель вообще заворачивает и где обрывается.


imaoskol
Сообщения: 81
Зарегистрирован: 11 янв 2019, 14:48

28 июл 2020, 13:15

Если с микротиков трасировки показывают правильное движение трафика значит с тунелем всё ок.
Надо смотреть таблицу маршрутизации в микротиках, шлюзы на компах и лок таблицы маршрутизации на компах.


electro777
Сообщения: 54
Зарегистрирован: 04 сен 2016, 01:10

28 июл 2020, 17:33

На всякий случай, на обоих микротах используете маскардинг для выхода в интернет пользователей? На всякий случай создали правило для трафика между сетями?


DemNZV
Сообщения: 6
Зарегистрирован: 27 июл 2020, 12:20

04 авг 2020, 09:48

Прошу прощения.... Спасибо, что натолкнули на правильную мысль.
В настройках Микротиков никакой ошибки не было. Ошибка с сетевыми настройками была на оконечном хосте.

.... тема закрыта. )))


DemNZV
Сообщения: 6
Зарегистрирован: 27 июл 2020, 12:20

06 авг 2020, 10:10

Очень важное дополнение! .... в попыхах забыл указать
В маршрутах роутера необходимо(!) указать Perf. Source. На головном микротике один туннель и на нем все работало, а на удаленном 2 туннеля. А так как не был указан адрес источника, то в заголовок IP пакета вставлялась всякая левая фигня - микротик подставлял наиболее "правильный" IP отправителя. И получалось, что головной микротик пытался отвечать по адресу через WAN... в заголовке стоял источник белого адреса регионального шлюза. Соответственно, пакеты терялись

Вот теперь тема закрыта.


Ответить