Jump to content
Калькуляторы

interface

Пользователи
  • Content Count

    10
  • Joined

  • Last visited

About interface

  • Rank
    Абитуриент
  1. разобрался. заработало и без л2тп. вот конфиги: делалось это на немного другой карте сети и пир туннеля микротик имеет теперь адрес 10.10.3.100. конфиг роутера router__2_mik /interface ethernet set [ find default-name=ether1 ] comment=wan set [ find default-name=ether2 ] comment=local set [ find default-name=ether3 ] comment=mgmt /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec peer profile set [ find default=yes ] nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-256 name=profile2 /ip ipsec policy group add name=group1 /ip ipsec proposal add enc-algorithms=aes-256-cbc lifetime=0s name=proposal1 /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /ip address add address=172.25.0.100/24 interface=ether1 network=172.25.0.0 add address=192.168.3.1/24 interface=ether2 network=192.168.3.0 add address=192.168.0.142/24 interface=ether3 network=192.168.0.0 /ip dhcp-client add disabled=no interface=ether1 /ip dns set servers=192.168.0.1 /ip firewall filter add action=accept chain=forward add action=accept chain=input add action=accept chain=output add action=accept chain=input dst-port=500 protocol=udp src-address=10.10.1.100 add action=accept chain=input protocol=ipsec-esp src-address=10.10.1.100 add action=accept chain=input dst-port=4500 protocol=udp src-address=\ 10.10.1.100 add action=accept chain=output dst-address=10.10.1.100 protocol=udp src-port=\ 4500 /ip firewall nat add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.3.0/24 add action=masquerade chain=srcnat out-interface=ether1 /ip ipsec peer add address=10.10.1.100/32 policy-template-group=group1 profile=profile2 \ secret=123456 /ip ipsec policy add dst-address=192.168.1.0/24 proposal=proposal1 sa-dst-address=10.10.1.100 \ sa-src-address=172.25.0.100 src-address=192.168.3.0/24 tunnel=yes /ip route add distance=1 gateway=172.25.0.1 /routing rip interface add disabled=yes receive=v2 /routing rip network add network=172.25.0.0/24 add network=192.168.3.0/24 /system logging add topics=ipsec вот конфиг натящего роутера mikrotik /interface ethernet set [ find default-name=ether1 ] comment=wan set [ find default-name=ether2 ] comment=local set [ find default-name=ether3 ] comment=mgmt /ip address add address=192.168.0.92/24 interface=ether3 network=192.168.0.0 add address=10.10.3.100/24 interface=ether1 network=10.10.3.0 add address=172.25.0.1/24 interface=ether2 network=172.25.0.0 /ip dhcp-client add disabled=no interface=ether1 /ip firewall filter add action=accept chain=forward /ip firewall nat add action=dst-nat chain=dstnat dst-port=500 in-interface=ether1 protocol=udp to-addresses=172.25.0.100 to-ports=500 add action=dst-nat chain=dstnat dst-port=4500 in-interface=ether1 protocol=udp to-addresses=172.25.0.100 to-ports=4500 add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=10.10.3.1 /routing rip interface add receive=v2 /routing rip network add network=10.10.2.0/24 add network=172.25.0.0/24 /tool sniffer set filter-interface=ether2 вот конфиг циско аса она же router__1_asa. при полной загрузке этого конфига пароли везде 123. Result of the command: "show running-config" : Saved : ASA Version 8.4(2) ! hostname ciscoasa domain-name my.loc enable password PLBb27eKLE1o9FTB encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 nameif wan security-level 0 ip address 10.10.1.100 255.255.255.0 ! interface Ethernet1 nameif local security-level 0 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! interface Ethernet6 shutdown no nameif no security-level no ip address ! interface Ethernet7 nameif mgmt security-level 0 ip address 192.168.0.140 255.255.255.0 ! ftp mode passive dns server-group DefaultDNS domain-name my.loc same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network NETWORK_OBJ_192.168.1.0_24 subnet 192.168.1.0 255.255.255.0 object network remote-net subnet 192.168.2.0 255.255.255.0 object network remote-net-mik subnet 192.168.3.0 255.255.255.0 access-list wan_cryptomap extended permit ip 192.168.1.0 255.255.255.0 object remote-net access-list global_access extended permit ip any any log debugging access-list wan_access_in extended permit ip any any log debugging access-list wan_cryptomap_1 extended permit ip 192.168.1.0 255.255.255.0 object remote-net-mik pager lines 24 logging enable logging asdm debugging mtu wan 1500 mtu local 1500 mtu mgmt 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat (local,wan) source static NETWORK_OBJ_192.168.1.0_24 NETWORK_OBJ_192.168.1.0_24 destination static remote-net remote-net no-proxy-arp route-lookup nat (local,wan) source static NETWORK_OBJ_192.168.1.0_24 NETWORK_OBJ_192.168.1.0_24 destination static remote-net-mik remote-net-mik no-proxy-arp route-lookup access-group wan_access_in in interface wan access-group global_access global ! router rip network 192.168.1.0 version 2 no auto-summary ! route wan 0.0.0.0 0.0.0.0 10.10.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication http console LOCAL http server enable http 192.168.0.0 255.255.255.0 mgmt no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal 3DES protocol esp encryption 3des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES protocol esp encryption aes protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES192 protocol esp encryption aes-192 protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5 crypto map wan_map 1 match address wan_cryptomap crypto map wan_map 1 set peer 10.10.2.100 crypto map wan_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map wan_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map wan_map 2 match address wan_cryptomap_1 crypto map wan_map 2 set pfs crypto map wan_map 2 set peer 10.10.3.100 crypto map wan_map 2 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map wan_map 2 set ikev2 ipsec-proposal DES 3DES AES AES192 AES256 crypto map wan_map 2 set ikev2 pre-shared-key ***** crypto map wan_map interface wan crypto ikev2 policy 1 encryption aes-256 integrity sha group 5 2 prf sha lifetime seconds none crypto ikev2 policy 10 encryption aes-192 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 20 encryption aes integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 30 encryption 3des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 40 encryption des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 enable wan crypto ikev1 enable wan crypto ikev1 policy 10 authentication crack encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 20 authentication rsa-sig encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 30 authentication pre-share encryption aes-256 hash sha group 2 lifetime none crypto ikev1 policy 40 authentication crack encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 50 authentication rsa-sig encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 60 authentication pre-share encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 70 authentication crack encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 80 authentication rsa-sig encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 90 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 100 authentication crack encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 110 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 120 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 130 authentication crack encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 140 authentication rsa-sig encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 150 authentication pre-share encryption des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn anyconnect-essentials group-policy GroupPolicy_10.10.2.100 internal group-policy GroupPolicy_10.10.2.100 attributes vpn-tunnel-protocol ikev1 ikev2 group-policy GroupPolicy_10.10.3.100 internal group-policy GroupPolicy_10.10.3.100 attributes vpn-tunnel-protocol ikev1 ikev2 username admin password 791XqL8HufZPJwon encrypted privilege 15 tunnel-group 10.10.2.100 type ipsec-l2l tunnel-group 10.10.2.100 general-attributes default-group-policy GroupPolicy_10.10.2.100 tunnel-group 10.10.2.100 ipsec-attributes ikev1 pre-shared-key ***** ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** tunnel-group 10.10.3.100 type ipsec-l2l tunnel-group 10.10.3.100 general-attributes default-group-policy GroupPolicy_10.10.3.100 tunnel-group 10.10.3.100 ipsec-attributes ikev1 pre-shared-key ***** ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily crashinfo save disable Cryptochecksum:594980ef1d8096c4d69a5bc299b53653 : end
  2. а разве нат траверсал не должен решать эту проблему? как я понял из его описания он как раз и занимается тем что упаковывает шифрованные пакеты ipsec в другие пакеты которые уже нормально роутятся через инет.
  3. это конфиг router__2_mikrotik [admin@MikroTik] > /export # nov/28/2018 23:42:18 by RouterOS 6.43.4 # software id = # # # /interface ethernet set [ find default-name=ether1 ] comment=wan set [ find default-name=ether2 ] comment=local set [ find default-name=ether3 ] comment=mgmt /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec peer profile set [ find default=yes ] nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des name=profile2 /ip ipsec policy group add name=group1 /ip ipsec proposal add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,3des name=proposal1 /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /ip address add address=192.168.0.140/24 interface=ether3 network=192.168.0.0 add address=172.25.0.100/24 interface=ether1 network=172.25.0.0 add address=192.168.2.1/24 interface=ether2 network=192.168.2.0 /ip dhcp-client add disabled=no interface=ether1 /ip dns set servers=192.168.0.1 /ip firewall filter add action=accept chain=forward add action=accept chain=input add action=accept chain=output add action=accept chain=input dst-port=500 protocol=udp src-address=\ 10.10.1.100 add action=accept chain=input protocol=ipsec-esp src-address=10.10.1.100 add action=accept chain=input dst-port=4500 protocol=udp src-address=\ 10.10.1.100 add action=accept chain=output dst-address=10.10.1.100 protocol=udp src-port=\ 4500 /ip firewall nat add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.2.0/24 /ip ipsec peer add address=10.10.1.100/32 exchange-mode=ike2 generate-policy=port-strict \ policy-template-group=group1 profile=profile2 secret=123456 /ip ipsec policy add dst-address=192.168.1.0/24 proposal=proposal1 sa-dst-address=10.10.1.100 \ sa-src-address=10.10.2.100 src-address=192.168.2.0/24 tunnel=yes /ip route add distance=1 gateway=172.25.0.1 /routing rip interface add receive=v2 /routing rip network add network=192.168.2.0/24 add network=172.25.0.0/24 /system logging add topics=ipsec это конфиг роутера mikrotik эмулирующего модем-роутер сотового провайдера [admin@MikroTik] > /export # nov/28/2018 23:45:10 by RouterOS 6.39rc68 # software id = # /interface ethernet set [ find default-name=ether1 ] comment=wan set [ find default-name=ether2 ] comment=local set [ find default-name=ether3 ] comment=mgmt /ip address add address=192.168.0.92/24 interface=ether3 network=192.168.0.0 add address=10.10.2.100/24 interface=ether1 network=10.10.2.0 add address=172.25.0.1/24 interface=ether2 network=172.25.0.0 /ip dhcp-client add disabled=no interface=ether1 /ip firewall filter add action=accept chain=forward /ip firewall nat add action=dst-nat chain=dstnat disabled=yes dst-port=500 in-interface=ether1 \ protocol=udp to-addresses=172.25.0.100 to-ports=500 add action=dst-nat chain=dstnat disabled=yes dst-port=4500 in-interface=\ ether1 protocol=udp to-addresses=172.25.0.100 to-ports=4500 add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=10.10.2.1 /routing rip interface add receive=v2 /routing rip network add network=10.10.2.0/24 add network=172.25.0.0/24 /tool sniffer set filter-interface=ether2 это вывод запрошенной команды на сиське Result of the command: "show crypto ipsec sa" There are no ipsec sas в логе на ней же периодически появляются сообщения вида 7Nov 28 201823:52:4210.10.2.100450010.10.1.1004500NAT-T keepalive received from 10.10.2.100/4500 to wan:10.10.1.100/4500 туннель обычный ipsec голый. SA не поднимаются вообще. я пробовал на router__2_mikrotik выставить в политике SA source адрес 172.25.0.100 и тогда туннель ноднимался но пакеты не ходили через него.
  4. у нас есть белый статик айпи. роутер сотового оператора это не тот роутер что главный и большой а тот который у нас в филиале стоит в который симка интернетная вставляется.
  5. на приложенной картинке лаборатория eve-ng и сеть в ней построенная. мне надо сделать ipsec туннель между router__1_asa и router__2_mikrotik. mikrotik_as_internet эмулирует собой сеть интернет и работа через него протестирована и проблем не вызывает. роутер с именем mikrotik представляет собой эмуляцию роутера сотового провайдера на одном из наших филиалов т.е. один из концов туннеля будет стоять за егошним натом. без роутера mikrotik туннель без проблем поднимается и все работает хорошо. но мне надо с ним. на обоих концах туннеля включен нат траверсал но туннель не поднимается. инициатором туннеля является router__2_mikrotik. в качестве пиров на обоих концах указаны публичные адреса соседа т.е. 10.10.1.100 и 10.10.2.100. подскажите где я недоделал пожалуйста. все роутеры настроены с нуля в минимальной для работы туннеля конфигурации т.е. нет каких либо правил фаервола могущих помешать процессу работы.
  6. У бриджа capsman назначена отдельная сеть 10.10.0.0/16 отличная от сети железных портов eth 192.168.0.0/24. На этом бридже висит dhcp отдельный с соотв. сетью. На роутере есть несколько статических записей dns с именами местных компьютеров входящих в сеть 192.168.0.0/24. Из сети 10.10.0.0 пинги норм ходят в сеть 192.168.0.0 а вот разрешение имён тех которые статически записаны в роутере не работает(при этом в интернет ходит норм). Dhcp который висит на бридже(у бриджа адрес 10.10.0.1) caspman выдаёт шлюз 10.10.0.1 и dns 10.10.0.1. Local forwarding выключен. Подскажите чего мне сделать чтобы работало разрешение статических записей dns(кроме включения local forwarding который приведет к тому что будут выдаваться адреса из сети 192.168.0.0/24 чего мне не нужно) .
  7. разобрался наконец. я в правиле nat указал конкретный адрес 192.168.136.1 поэтому адрес 192.168.201.201 не проходил через nat через vlan. очистил поле dstaddr и все заработало(т.е. оставил тока указание интерфейса в nat)
  8. попробовал. непомогло
  9. маршруты 0 A S ;;; added by setup 0.0.0.0/0 83.239.31.37 1 1 ADC 83.239.31.36/30 83.239.31.38 ether1-gateway 0 2 ADC 192.0.0.0/24 192.0.0.1 ether2-master-l... 0 3 ADC 192.168.0.0/24 192.168.0.1 ether2-master-l... 0 4 ADC 192.168.136.0/24 192.168.136.112 ip-telephone 0 5 A S 192.168.201.201/32 192.168.136.1 1 адреса # ADDRESS NETWORK INTERFACE 0 ;;; added by setup 192.168.0.1/24 192.168.0.0 ether2-master-local 1 ;;; added by setup 83.239.31.38/30 83.239.31.36 ether1-gateway 2 192.0.0.1/24 192.0.0.0 ether2-master-local 3 ;;; for ip-phones 192.168.136.112/24 192.168.136.0 ip-telephone что такое ip link я не понял к сожалению.
  10. состояние: интерфейс eth1 который смотрит в инет. на eth1(ip статика) висит vlan126(ip статика 192.168.136.112) который нужен для ip телефонии. для телефонии шлюз 192.168.136.1. я сделал nat для eth1 и для vlan126 с дополнительно указанным dstaddr=192.168.136.1. шлюз телефонии пингуется и в инет тоже нормально всё ходит. проблема: за шлюзом ip телефонии есть прокси для регистрации на нем номеров с адресом 192.168.201.201. вот его я не могу пингануть. уже пробовал и маршрут к нему напрямую задавать т.е. адрес назначения= 192.168.201.201 шлюз 192.168.136.1 и отключал все блокирующие правила фаервола-толку нифига. я еще не до конца догоняю в пути пакетов через таблицы маршрутизации. помогите решить проблему пожалуйста.