Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Непонятное поведение firewall на IPSEC

https://forummikrotik.ru/viewtopic.php?t=12062

Страница 1 из 1

Непонятное поведение firewall на IPSEC

Добавлено: 30 сен 2020, 12:31
konstantin.kovalchuk
Добрый день.
Есть 2 офиса, объединены ipsec site to site, соединение поднимается и пишет established.
В правилах фаервола разрешены forvard из локальных сетей.
НО! пакеты не начинают ходить пока из каждой подсети не пустишь пинг друг на встречу другу, только после этого начинают ходить пакеты.
Недолго, пару часов, пока не смог засечь на какое время, после опять перестают ходить пока опять вручную не пустишь пинг.
Может кто то сталкивался с подобным поведением?

1. Офис подключен через SFP порт оптика, поднято ppoe соединение от провайдера

WAN 89.12.10.1
LAN 10.100.211.0/24

2. Офис подключен через ETH1 порт, поднято ppoe соединение от провайдера
WAN 89.22.10.1
LAN 192.168.5.0/24

Ни как не могу решить проблему и даже уже в тупике что еще проверять

Re: Непонятное поведение firewall на IPSEC

Добавлено: 30 сен 2020, 12:39
yarvelov
не думаю, что без выложенных конфигов кто-то сможет помочь.

Re: Непонятное поведение firewall на IPSEC

Добавлено: 30 сен 2020, 12:50
bolshe
Нужен конфиг, хотя-бы кусок.
Маршруты (/ip route) в две стороны 10.100.211.0/24 и 192.168.5.0/24 на маршрутизаторах установлены?

Re: Непонятное поведение firewall на IPSEC

Добавлено: 30 сен 2020, 12:53
yarvelov
bolshe писал(а): 30 сен 2020, 12:50 Нужен конфиг, хотя-бы кусок.
Маршруты (/ip route) в две стороны 10.100.211.0/24 и 192.168.5.0/24 на маршрутизаторах установлены?
Если чистый ipsec туннель в туннельном режиме, то маршруты прописывать руками обычно не надо...
Зачем кусок, для ясности лучше весь конфиг, пароли и прочую интимную инфу не сложно убрать.

Re: Непонятное поведение firewall на IPSEC

Добавлено: 30 сен 2020, 12:56
konstantin.kovalchuk
add action=accept chain=forward dst-address=192.168.5.0/24 log-prefix=\
sov_fire-1 out-interface=pppoe-out1 src-address=10.100.211.0/24
add action=accept chain=forward dst-address=10.100.211.0/24 log-prefix=\
"sov fire-2" out-interface=pppoe-out1 src-address=192.168.5.0/24
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.5.0/24 log-prefix=n1 \
src-address=10.100.211.0/24
add action=accept chain=srcnat dst-address=10.100.211.0/24 log-prefix=n2 \
src-address=192.168.5.0/24
Соответственные правила на втором микротике
Единственное что я ошибся один из офисов подключен через eth1 а не SFP

Re: Непонятное поведение firewall на IPSEC

Добавлено: 30 сен 2020, 13:07
bolshe
/ip ipsec policy ?

Re: Непонятное поведение firewall на IPSEC

Добавлено: 30 сен 2020, 13:25
konstantin.kovalchuk
/ip ipsec policy
add dst-address=192.168.5.0/24 peer="sovetskoy armii" proposal=moskovskoe \
sa-dst-address=89.109.1.1 sa-src-address=89.109.2.2 src-address=\
10.100.211.0/24 tunnel=yes
[13:17, 30.09.2020] Константин: /ip ipsec peer
add address=89.109.1.1/32 local-address=89.109.2.2 name="sovetskoy armii" \
profile="sovetskoy armii" send-initial-contact=no
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB