Страница 2 из 4
Re: IPIP + IPSec между двумя сетями через инет
Добавлено: 18 авг 2014, 01:06
biggleb
Трассировка маршрута из подсети 10.20.0.0 к компу 192.168.0.200 дала следующую картинку:
C:> tracert 192.168.0.200
1 1 ms 1 ms 1 ms 10.20.0.1 (ближний роутер, локальный IP)
2 36 ms 36 ms 36 ms 109.xxx.xxx.18 (дальний роутер, внешний IP)
3 * * * Превышен интервал ожидания для запроса.
Т.е. начинает идти по правильному маршруту, доходит до удаленного роутера и теряется...
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 23 авг 2014, 21:28
biggleb
Разобрался со всем.
Всё заработало.
Полностью переписал стартовый пост, сделал из него мануал для "чайников".
Постарался максимально подробно простым языком описать весь процесс настройки.
Всем удачи!
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 24 авг 2014, 07:29
podarok66
Где мануал? Ссылочку в студию, если не жалко...
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 24 авг 2014, 15:21
biggleb
Стартовый пост и есть мануал.
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 24 авг 2014, 16:30
podarok66
Ок, скопировал тему в Готовые конфгурации. Ща там срежу всё обсуждение, получится именно мануал... Спасибо за проделанную работу.
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 17 сен 2014, 14:17
serrom
Здравствуйте!
Помогите решить проблему:
1. Суть проблемы:
Есть 2 роутера, настройки ниже. У обоих с внешней стороны ip-шники из "серых" сетей, через nat провайдера выходят в инет. Роутеры видят друг друга по внешним интерфейсам eth1. За каждым из роутеров - nat, сетка 192.168.0/24 за первым, 192.168.20.0/24 за вторым. Поднимаю IPSec согласно инструкции. В результате - вначале получил странную ситуацию, что канал устанавливается как бы односторонний - даю ping с ip за первым роутером на ip за вторым роутером - результата нет. Наоборот (с ip за вторым на Ip за первым) - есть, после этого появляется и пинг в обратную сторону. Помимо этого могу (как в одну сторону так и в другую) пропинговать только часть хостов, хотя изнутри они пингуются. Как бы сделать так, чтобы можно было связаться со всеми адресами как в одну так и в другую сторону?
2. Предпринял изменение алгоритмов шифрования (сделал как в этом мануале, вначале было по-другому) - первая часть проблемы вроде исчезла, вторая осталась. По-прежнему вижу только часть компов как с одной так и с другой стороны.
3. Конфиги:
Это тег спойлера, я вставил код в него, что-бы не создавать огромные сообщения
Код: Выделить всё
[admin@MTGZ] > /export compact
# jan/09/1970 22:26:00 by RouterOS 6.10
# software id = VN4T-YXGI
#
/interface bridge
add l2mtu=1588 name=bridge1
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des pfs-group=\
none
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
/ip address
add address=192.168.0.11/24 interface=bridge1 network=192.168.0.0
add address=172.28.22.10/26 interface=ether1 network=172.28.22.0
add address=10.146.102.10/24 interface=ether2 network=10.146.102.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dns
set allow-remote-requests=yes servers=192.168.192.168,172.16.172.16
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=forward comment="Allow established connections" connection-state=\
established
add chain=forward comment="Allow related connections" connection-state=\
related
add chain=forward comment="Allow ICMP forwarding" protocol=icmp
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input comment="Allow IKE" dst-port=4500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=drop chain=forward comment="Drop invalid connection packets" \
connection-state=invalid
/ip firewall nat
add chain=srcnat comment="\CF\D2\CE" dst-address=192.168.10.0/24 src-address=\
192.168.0.0/24
add chain=srcnat comment="\D0\EE\E4\E4\EE\EC" dst-address=192.168.20.0/24 \
src-address=192.168.0.0/24
add chain=srcnat comment="\C8\ED\F4\E5\EA\F6\E8\FF" dst-address=\
192.168.30.0/24 out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether1
/ip ipsec peer
add address=172.28.22.140/32 comment="\C8\ED\F4\E5\EA\F6\E8\FF" \
enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 \
nat-traversal=yes secret=qaszser
add address=172.28.22.70/32 comment="\D0\EE\E4\E4\EE\EC" enc-algorithm=3des \
generate-policy=port-override hash-algorithm=md5 nat-traversal=yes \
secret=qaszser
add address=10.129.171.10/32 comment="\CF\D2\CE" enc-algorithm=3des \
generate-policy=port-override hash-algorithm=md5 nat-traversal=yes \
secret=qaszser
/ip ipsec policy
add comment="\C8\ED\F4\E5\EA\F6\E8\FF" dst-address=192.168.30.0/24 \
ipsec-protocols=ah-esp sa-dst-address=172.28.22.140 sa-src-address=\
172.28.22.10 src-address=192.168.0.0/24 tunnel=yes
add comment="\D0\EE\E4\E4\EE\EC" dst-address=192.168.20.0/24 ipsec-protocols=\
ah-esp sa-dst-address=172.28.22.70 sa-src-address=172.28.22.10 \
src-address=192.168.0.0/24 tunnel=yes
add comment="\CF\D2\CE" dst-address=192.168.10.0/24 ipsec-protocols=ah-esp \
sa-dst-address=10.129.171.10 sa-src-address=10.146.102.10 src-address=\
192.168.0.0/24 tunnel=yes
/ip route
add distance=1 gateway=172.28.22.1
add distance=1 dst-address=10.129.171.0/24 gateway=10.146.102.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
/ip upnp
set allow-disable-external-interface=no
/system identity
set name=MTGZ
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR
/tool sniffer
set filter-interface=bridge1 filter-ip-protocol=tcp
[admin@MTGZ] >
---------------------
[admin@MikroTik] > /export compact
# jan/03/1970 03:02:55 by RouterOS 6.7
# software id = IHTQ-3BMF
#
/interface bridge
add admin-mac=4C:5E:0C:50:0F:85 auto-mac=no l2mtu=1598 name=bridge-local \
protocol-mode=rstp
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=\
ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=\
ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=\
ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=\
ether10-slave-local
set [ find default-name=sfp1 ] name=sfp1-gateway
/ip neighbor discovery
set ether1-gateway discover=no
set sfp1-gateway discover=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des pfs-group=\
none
/ip pool
add name=default-dhcp ranges=192.168.20.10-192.168.20.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local lease-time=\
10m name=default
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
/ip address
add address=192.168.20.1/24 comment="default configuration" interface=\
bridge-local network=192.168.20.0
add address=172.28.22.70/26 interface=ether1-gateway network=172.28.22.64
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
sfp1-gateway
add comment="default configuration" dhcp-options=hostname,clientid interface=\
ether1-gateway
/ip dhcp-server network
add address=192.168.20.0/24 comment="default configuration" dns-server=\
192.168.20.1 gateway=192.168.20.1
/ip dns
set allow-remote-requests=yes servers=192.168.192.168,172.16.172.16
/ip dns static
add address=10.0.10.1 name=router
/ip firewall filter
add chain=forward comment="Allow established connections" connection-state=\
established
add chain=forward comment="Allow related connections" connection-state=\
related
add chain=forward comment="Allow ICMP" protocol=icmp
add chain=input comment="Allow UDP" protocol=udp
add chain=input dst-port=500 protocol=udp
add chain=input dst-port=4500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=\
yes out-interface=sfp1-gateway
add chain=srcnat comment="VPN \E3\EB\E0\E2\ED\FB\E9 \EA\EE\F0\EF\F3\F1" \
dst-address=192.168.0.0/24 src-address=192.168.20.0/24
add chain=srcnat comment="VPN \E8\ED\F4\E5\EA\F6\E8\FF" dst-address=\
192.168.30.0/24 src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway to-addresses=0.0.0.0
/ip ipsec peer
add address=172.28.22.10/32 comment="\C3\EB\E0\E2\ED\FB\E9 \EA\EE\F0." \
enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 \
nat-traversal=yes secret=qaszser
add address=172.28.22.140/32 comment="\C8\ED\F4\E5\EA\F6\E8\FF" \
enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 \
nat-traversal=yes secret=qaszser
/ip ipsec policy
add comment="\C3\EB\E0\E2\ED\FB\E9 \EA\EE\F0\EF\F3\F1" dst-address=\
192.168.0.0/24 ipsec-protocols=ah-esp sa-dst-address=172.28.22.10 \
sa-src-address=172.28.22.70 src-address=192.168.20.0/24 tunnel=yes
add comment="\C8\ED\F4\E5\EA\F6\E8\FF" dst-address=192.168.30.0/24 \
ipsec-protocols=ah-esp sa-dst-address=172.28.22.140 sa-src-address=\
172.28.22.70 src-address=192.168.20.0/24 tunnel=yes
/ip route
add distance=1 gateway=172.28.22.65
/lcd interface
set sfp1-gateway interface=sfp1-gateway
set ether1-gateway interface=ether1-gateway
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6-master-local interface=ether6-master-local
set ether7-slave-local interface=ether7-slave-local
set ether8-slave-local interface=ether8-slave-local
set ether9-slave-local interface=ether9-slave-local
set ether10-slave-local interface=ether10-slave-local
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local
[admin@MikroTik] >
4. Да,ознакомлен, не нашел.
ред. Dragon_Knight
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 18 сен 2014, 08:08
biggleb
Если часть пингуется, часть нет, то это больше похоже на политику безопасности ОСей на каждом компе. Особо чрезмерной безопасностью грешат 7-ки и 8-ки. И все это именно из-за удаленности. Серость IP тут ни при чем.
Ну а по поводу одностороннего поднятия IPSec, есть такой момент.
Могу лишь предположить, что он связан с тем, что только один роутик выступает инициатором (вкладка /ip ipsec peer, галочка Passive).
В качестве эксперимента можно убрать галочки у обоих роутеров.
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 19 сен 2014, 14:10
serrom
Относительно политики безопасности на компах пользователей - проверю.
Дело в том, что с самого роутера они пингуются, не пингуются из удаленной сети. Сомневаюсь... хотя может быть.
Попробую настроить IPIP туннель вместо ipsec - если и там тоже самое повторится, значит вероятно политика безопасности, если будет работать - значит что-то с ipsec.
Про галочки - дело в том, что на моей версии прошивки этих галочек нет. Может быть все дело в том, что надо ее обновить - и автоматически исправится первая проблема?
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 24 сен 2014, 12:04
serrom
Все, разобрался. Действительно - политика безопасности на локальных машинах.
Re: IPIP, IPSec между двумя сетями через инет ("для чайников
Добавлено: 24 сен 2014, 13:09
pubuser
В точности сделал все как написано в первом посту. Объединил 2 подсети находящиеся за роутерами - все работает! Но в первом посту небольшое есть упущение - чтобы с компа из любой локалки пинговался любой другой комп в другой локалке, нужно руками прописать к нужной подсети роут (упомянутого "верхнего" правила NAT не хватает для этого, с ним хосты локалок пингуются только из роутеров) и гейтвеем назначить либо мастер порт свитча, либо бридж куда соединены LAN порты роутера.
Есть вопросик - соединил по городской локалке два роутера таким способом, только у одного из них есть выход в инет по L2TP. У второго нету. Каким образом можно получить второму интернет от первого? Пробовал на втором прописать роут 0.0.0.0/0 и шлюзом указать адрес роутера с интернетом - не работает( Кто так настраивал, подскажите плз решение?