Не удается настроить ipsec c vk cloud
Добавлено: 01 фев 2022, 10:53
Есть такое облако, mail.ru, вот инструкция на той стороне, ну там вроде всё просто некст-некст.
https://mcs.mail.ru/docs/ru/networks/vn ... create-vpn
На моей стороне CCR1009-8G-1S-1S+
Вроде как я сумел сделать Ph1, поскольку вижу поднявшийся активный пир. Кстати, как выводить это список через консоль.
Но вот дальше это не продвинулся, Ph2 не поднимается. Как убедиться что фаза один у меня правильная, и как смотреть её состояние в терминале. Что я мог сделать не так в фазе 2, как диагностировать, особенно если логи с той стороны вот просто так недоступны. Их можно запрашивать но не оперативно.
# feb/01/2022 09:50:58 by RouterOS 6.48.6
# software id = SW0T-05C6
#
# model = CCR1009-8G-1S-1S+
/ip ipsec profile
set [ find default=yes ] dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h
add dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h name=2191
/ip ipsec peer
add address=<IP CLOUD ROUTER> local-address=<IP LOCAL ROUTER> name=<PEER ID> profile=2191
/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=1h name=2191 pfs-group=modp1536
/ip firewall nat
add action=accept chain=srcnat comment="ipsec mailru" dst-address=10.0.0.0/24 src-address=192.168.0.0/16
/ip firewall raw
add action=notrack chain=prerouting comment=mailrubld dst-address=192.168.0.0/16 src-address=10.0.0.0/24
add action=notrack chain=prerouting comment=mailrubld dst-address=10.0.0.0/24 src-address=192.168.0.0/16
/ip ipsec identity
add peer=<PEER ID>
/ip ipsec policy
set 0 proposal=2191
add dst-address=10.0.0.0/24 ipsec-protocols=ah peer=<PEER ID> proposal=2191 src-address=192.18.0.0/16 tunnel=yes
https://mcs.mail.ru/docs/ru/networks/vn ... create-vpn
На моей стороне CCR1009-8G-1S-1S+
Вроде как я сумел сделать Ph1, поскольку вижу поднявшийся активный пир. Кстати, как выводить это список через консоль.
Но вот дальше это не продвинулся, Ph2 не поднимается. Как убедиться что фаза один у меня правильная, и как смотреть её состояние в терминале. Что я мог сделать не так в фазе 2, как диагностировать, особенно если логи с той стороны вот просто так недоступны. Их можно запрашивать но не оперативно.
# feb/01/2022 09:50:58 by RouterOS 6.48.6
# software id = SW0T-05C6
#
# model = CCR1009-8G-1S-1S+
/ip ipsec profile
set [ find default=yes ] dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h
add dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h name=2191
/ip ipsec peer
add address=<IP CLOUD ROUTER> local-address=<IP LOCAL ROUTER> name=<PEER ID> profile=2191
/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=1h name=2191 pfs-group=modp1536
/ip firewall nat
add action=accept chain=srcnat comment="ipsec mailru" dst-address=10.0.0.0/24 src-address=192.168.0.0/16
/ip firewall raw
add action=notrack chain=prerouting comment=mailrubld dst-address=192.168.0.0/16 src-address=10.0.0.0/24
add action=notrack chain=prerouting comment=mailrubld dst-address=10.0.0.0/24 src-address=192.168.0.0/16
/ip ipsec identity
add peer=<PEER ID>
/ip ipsec policy
set 0 proposal=2191
add dst-address=10.0.0.0/24 ipsec-protocols=ah peer=<PEER ID> proposal=2191 src-address=192.18.0.0/16 tunnel=yes