Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

IKEv2 с серого IP

https://forummikrotik.ru/viewtopic.php?t=10815

Страница 1 из 1

IKEv2 с серого IP

Добавлено: 30 сен 2019, 12:08
sym25
задача:
настроить ipsec IKEv2 соединение с банком.
есть:
1. модем ZTE MF28D (LAN 192.168.1.0/24) c сим-картой, статический белый IР
2. Mikrotik hap mini OS 6.45.6
Банк допускает только IKEv2
на микротике ван-порт имеет внутренний (серый) ип модема(LAN 192.168.1.2), из-за этого не устанавливается подключение (надо чтобы IP WAN микротика был белый IP)
Как победить?

Re: IKEv2 с серого IP

Добавлено: 30 сен 2019, 13:33
Sertik
А если включить lte passthrough (https://wiki.mikrotik.com/wiki/Manual:I ... gh_Example) ?

Re: IKEv2 с серого IP

Добавлено: 30 сен 2019, 13:54
sym25
Sertik писал(а): 30 сен 2019, 13:33 А если включить lte passthrough (https://wiki.mikrotik.com/wiki/Manual:I ... gh_Example) ?
Вы не поняли: у меня отдельный модем с симкартой (ZTE), работающий в режиме роутера.
У микротика моего нету усб, ван порт микротика подключен кабелем в порт LAN ZTE

Re: IKEv2 с серого IP

Добавлено: 30 сен 2019, 14:05
Sertik
Тогда Вам нужно пробрасывать порты Ikev2 c роутера ZTE на Микротик и уже на нем (Микротике) открывать VPN-сервер для Вашего банка
И не забудьте NaT-T включить в настройках IPSec на Вашем Микротике.

Re: IKEv2 с серого IP

Добавлено: 30 сен 2019, 16:12
sym25
Sertik писал(а): 30 сен 2019, 14:05 Тогда Вам нужно пробрасывать порты Ikev2 c роутера ZTE на Микротик и уже на нем (Микротике) открывать VPN-сервер для Вашего банка
И не забудьте NaT-T включить в настройках IPSec на Вашем Микротике.
вот это и не получается. на ZTE включен port forwarding всех портов на микротик.
Но проблема похоже в другом: в настройках IPSec микротика (peers) необходимо указать local address - это должен быть мой "белый IP", а ван порт микротика имеет серый адрес.
Если указываю серый - получаю ошибку (похоже от адресата):
ike2 reply, exchange: SA_INIT: 0 87.x.x.x[500]
ike2 initilize recv
payload seen: NoTIFY
error: payload missing: SA

если указываю "белый IP", то получаю ошибку: sendmsg (Invalid argument) (похоже, что ничего даже не уходит с микротика в инет), так как адрес ван микротика не равен белому адресу

Re: IKEv2 с серого IP

Добавлено: 01 окт 2019, 16:40
Sertik
Укажите там белый IP первого роутера ZTE, который "прокидываете" на Микротик.

Re: IKEv2 с серого IP

Добавлено: 01 окт 2019, 16:47
sym25
Sertik писал(а): 01 окт 2019, 16:40 Укажите там белый IP первого роутера ZTE, который "прокидываете" на Микротик.
так я так и делаю. Белый IP - это IP адрес ZTE, кот. смотрит в инет
в таком случае ошибка SendMsg (Invalid Argument), выше писал
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB