Страница 1 из 2

ipsec между Mikrotik и tmg server

Добавлено: 08 мар 2014, 13:55
Alexandrovav
Здравствуйте.
Схема сети такая
(192.168.68.0/24 сеть)---(192.168.68.2-белый ip tmg server)---интернет---(белый ip микротик 450g--192.168.88.1)---(192.168.88.0/24 сеть)
Сейчас поднят ipsec туннель между TMG и микротик. IPSEC политики на tmg поднимаются автоматически, а на микротик такая политика
srs address 192.168.88.0/24 сеть за микротиком
dst address 192.168.68.0/24 сеть за tmg
SA srs address 79.134.220.71 белый микротик
SA dst address 79.134.220.67 белый TMG

задача такая . чтобы при поднятом ipsec весь трафик из сети за mikrotik в интернет шел через ipsec на tmg и потом в инетрнет.
Проблемы:
1. При поднятом ipsec сети друг друга видят без проблем, но с самого mikrotik сеть за tmg недоступна, пинги не ходят.
2. Чтобы направить весь трафик в туннель я (как мне кажется) должен изменить на микротик политику, а именно
dst address 0.0.0.0/0
но в этом случае ipsec туннель не устанавливается вообще.
В чем может быть проблема?

Re: ipsec между Mikrotik и tmg server

Добавлено: 08 мар 2014, 18:45
vqd
ip - route - rules Вам помогут

Re: ipsec между Mikrotik и tmg server

Добавлено: 08 мар 2014, 21:25
Alexandrovav
спасибо за ответ.
Но какая маршрутизация при ipsec соединении? Ведь даже виртуальных интерфейсов нет.
Или я что-то не понимаю? Можно поподробнее.
Вот настройки роутера подробнее как у меня сделаны
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение

Неужели так сложно вместо прямых ссылок взять код для форума? Вроде бы лишь строчкой ниже выдают на хостинге кортинок.

Re: ipsec между Mikrotik и tmg server

Добавлено: 09 мар 2014, 07:22
vqd
маршруты покажите еще при поднятом ипсек

Re: ipsec между Mikrotik и tmg server

Добавлено: 09 мар 2014, 09:42
Alexandrovav
понял. Хорошо буду пользоваться кодом для форума.
Вот маршруты при поднятом ipsec. Я туда ничего не дописывал, все генерируются автоматически
Изображение

[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 79.134.220.65 1
1 ADC 79.134.208.0/20 79.134.220.71 ether1-gateway 0
2 X S 192.168.68.1/32 79.134.220.69 1
3 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0

Re: ipsec между Mikrotik и tmg server

Добавлено: 09 мар 2014, 11:03
vqd
Ну создайте маршрут 0.0.0.0/0 gateway=IP_TMG routing_mark=to_tmg

Дальше рулес прикручивайте

Re: ipsec между Mikrotik и tmg server

Добавлено: 09 мар 2014, 12:52
Alexandrovav
добавил маршрут
0.0.0.0/0 через внутренний интерфейс tmg.
routing_mark=to_tmg
а какое правило rules написать?
192.168.68.100 c микротик недоступен. Будет ли работать такой маршрут?
Изображение

Re: ipsec между Mikrotik и tmg server

Добавлено: 12 мар 2014, 14:34
Alexandrovav
Здравствуйте.
Пинги с микротик в сеть за tmg пошли если в качестве источника пинга выбрать внутренний интерфейс микротик. Теперь вопрос как заставить маршрут 0.0.0.0/0 gateway=IP_TMG чтобы он тоже смотрел как-бы с внутреннего интерфейса? Указать внутренний интерфейс при создании маршрута нет возможности.
Вообщем надо при наличии туннеля весь трафик слать в туннель, а вот как это сделать...

Микротик 450g постоянно разрывает и снова поднимает ipsec.

Добавлено: 18 апр 2014, 22:43
Alexandrovav
Добрый день.
Есть микротик 450g. Он поднимает PPPOE соединение с провайдером через adsl модем. Модем в режиме бриджа. На микротике организован ipsec туннель c microsoft tmg server в другом офисе. Параметры ipsec такие
ipsec policy
source address 192.168.106.0/24
dst address 192.168.68.0/24
protocol all
action encrypt
level require
ipsec protocols esp
tunnel
sa srs белый адрес микротик
sa dst белый ip tmg
--
peer phase 1
address белый ip tmg
port 500
secret xxxxx
exchange mode main
send initial contact
proposal check obey
hash algorithm sha1
encr algorithm 3des
dh group modp1024
generate policy no
lifetime 08:00:00
dpd interval 120
dpd maximum failures 5
---
proposal
auth algorithm sha1
encr algorithm 3des
lifetime 01:00:00
pfs group modp1024

ipsec соединение устанавливается быстро и без проблем. Но в течении дня в закладке remote peer видно что соединение очень часто рвется (time established не достигает и 10 минут) при этом на закладке installed sa генерирубтся новые ключи. К концу дня их может быть больше сотни. Почему это может происходить?
Это нормально? Я раньше никогда с микротиком не работал и думал что ключей в installed sa должно быть не больше двух. При этом pppoe сессия не разрывается в течении дня. Может есть на микротик настройки чтобы уменьшить порог разрыва ipsec соединения? Чтобы оно установилось с утра и больше не разрывалось.
Кстати ночью когда никто не работает соединение не разрывается и всю ночь работает одна пара ключей.
Спасибо.

Re: Микротик 450g постоянно разрывает и снова поднимает ipse

Добавлено: 19 апр 2014, 06:36
podarok66
Так ли уж необходимо было открывать новую тему. Объединил две Ваших в одну, все равно Вы вокруг одного пня крутитесь уж второй месяц.