Перейти к содержимому
Калькуляторы

vinitan

Новичок
 Просмотреть профиль  Активность

  • Публикации

    3

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем vinitan

  1. Опубликовано · Изменено пользователем vinitan · Жалоба на ответ

    Либо не используйте IPSec, либо не используйте микротик, одно из двух.

     

    За эти деньги купили бы SRX240 и не парились

    Так он стоит около сотки а микротик этот 40 000

     

    В общем я соединил длинк с микротиком этим.

    В настройках vpn нужно было отключить PHASE 2. Все остальные настройки в микротике стандартные которые и рекомендуют на сайтах посвященных настройке IPSec.

    В интернете очень много инфы по настройке айписека на микротике но нет инфы о настройке длинков серии dir и т.д.

    post-130359-061977300 1444371339_thumb.png

  2. Опубликовано · Изменено пользователем vinitan · Жалоба на ответ

    300 ipsec-туннелей ? Ну-ну...

    Сейчас на одном из DFL-860E реально работают 200 туннелей IPSec. Подтупливает но работает. Вот и приобрели Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ для увеличения тунелей и надежности.

     

    Если есть у кого дельный совет, то прошу помочь!

  3. Опубликовано · Жалоба на ответ

    Добрый день.

    Вопрос посвящен гуру микротиков.

    У меня есть в офисе Mikrotik Cloud Core Router CCR1009-8G-1S-1S+. Его мы поставим взамен Dlink который не справляется с нагрузкой.

    Dlink сейчас выполняет роль сервера VPN. Канал организован по средствами IPSec. Всего сейчас подключено более 300 каналов. Каждый канал соединяет центральный офис с удаленным офисом. В центральном офисе (Там где стоит это все железо) сеть 192.168.0.0/24. В каждом удаленном офисе своя подсеть к примеру 192.168.101.2/29 и так далее. Всего получается 300 подсетей. У нас есть белый адрес в офисе и часть удаленных офисов так же имеет белые адреса, но не все.

     

    Задача такая:

    При помощи IPSec поднять соединения с роутеров в удаленных офисах к роутеру Mikrotik Cloud Core Router CCR1009-8G-1S-1S в нашем офисе. Важно то что бы не менять все 300 настроек на удаленных роутерах. В удаленных офисах стоят в основном Dlink dir140l.

    Проще говоря необходимо в центральном офисе заменить длинк на микротик и это сделать безболезненно.

    Сейчас я настроил на Mikrotik IPSec и настроил Dlink dir140l на подключение по IPSec. Длинки конечно сложно было настроить так как в интернете нет мануалов по поводу этого для настройки под микротик.

    В общем соединение есть IPSec работает но беда в том что не ходят пинки из сети 192.168.0.0/24 в сеть удаленного офиса 192.168.101.224/29.

     

    Ниже настройки Mikrotik которые я произвел для поднятия IPSec:

     

    Сеть центральный офис:

    LAN 192.168.0.0/24

    Subnet Mask 255.255.255.0

    WAN белый IP

     

    Сеть удаленный офис:

    LAN 192.168.108.224/29

    Subnet Mask 255.255.255.248

    WAN белый IP

     

    /ip firewall filter remove [find comment=to_192.168.108.224/29]
/ip firewall filter add src-address=ОФИС_УДАЛЕННЫЙ action=accept chain=input comment=to_192.168.108.224/29
/ip firewall filter add dst-address=ОФИС_УДАЛЕННЫЙ action=accept chain=output comment=to_192.168.108.224/29
/ip firewall filter add src-address=192.168.108.224/29 action=accept chain=forward comment=to_192.168.108.224/29
/ip firewall filter add dst-address=192.168.108.224/29 action=accept chain=forward comment=to_192.168.108.224/29
/ip firewall filter move [find comment=to_192.168.108.224/29] 0

/ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.108.224/29 action=accept chain=srcnat comment=to_192.168.108.224/29
/ip firewall nat move [find comment=to_192.168.108.224/29] 0


/ip ipsec peer remove [find address=ОФИС_УДАЛЕННЫЙ/32]
/ip ipsec peer add address=ОФИС_УДАЛЕННЫЙ/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="qwerty" generate-policy=no policy-template-group=group1 exchange-mode=main send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=des dh-group=modp768 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5


/ip ipsec proposal remove [find name=ОФИС_УДАЛЕННЫЙ]
/ip ipsec proposal add  name="default" auth-algorithms=md5 enc-algorithms=des lifetime=8h pfs-group=modp768

/ip ipsec policy remove [find dst-address=192.168.108.224/29]
/ip ipsec policy add  src-address=192.168.0.0/24 src-port=any dst-address=192.168.108.224/29 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=ОФИС_ЦЕНТРАЛЬНЫЙ sa-dst-address=ОФИС_УДАЛЕННЫЙ proposal=default priority=0

     

    Подскажите как заставить одну сеть видеть другую сеть? И обратно.Сейчас пинги не ходят.