vinitan Опубликовано 8 октября, 2015 · Жалоба Добрый день. Вопрос посвящен гуру микротиков. У меня есть в офисе Mikrotik Cloud Core Router CCR1009-8G-1S-1S+. Его мы поставим взамен Dlink который не справляется с нагрузкой. Dlink сейчас выполняет роль сервера VPN. Канал организован по средствами IPSec. Всего сейчас подключено более 300 каналов. Каждый канал соединяет центральный офис с удаленным офисом. В центральном офисе (Там где стоит это все железо) сеть 192.168.0.0/24. В каждом удаленном офисе своя подсеть к примеру 192.168.101.2/29 и так далее. Всего получается 300 подсетей. У нас есть белый адрес в офисе и часть удаленных офисов так же имеет белые адреса, но не все. Задача такая: При помощи IPSec поднять соединения с роутеров в удаленных офисах к роутеру Mikrotik Cloud Core Router CCR1009-8G-1S-1S в нашем офисе. Важно то что бы не менять все 300 настроек на удаленных роутерах. В удаленных офисах стоят в основном Dlink dir140l. Проще говоря необходимо в центральном офисе заменить длинк на микротик и это сделать безболезненно. Сейчас я настроил на Mikrotik IPSec и настроил Dlink dir140l на подключение по IPSec. Длинки конечно сложно было настроить так как в интернете нет мануалов по поводу этого для настройки под микротик. В общем соединение есть IPSec работает но беда в том что не ходят пинки из сети 192.168.0.0/24 в сеть удаленного офиса 192.168.101.224/29. Ниже настройки Mikrotik которые я произвел для поднятия IPSec: Сеть центральный офис: LAN 192.168.0.0/24 Subnet Mask 255.255.255.0 WAN белый IP Сеть удаленный офис: LAN 192.168.108.224/29 Subnet Mask 255.255.255.248 WAN белый IP /ip firewall filter remove [find comment=to_192.168.108.224/29] /ip firewall filter add src-address=ОФИС_УДАЛЕННЫЙ action=accept chain=input comment=to_192.168.108.224/29 /ip firewall filter add dst-address=ОФИС_УДАЛЕННЫЙ action=accept chain=output comment=to_192.168.108.224/29 /ip firewall filter add src-address=192.168.108.224/29 action=accept chain=forward comment=to_192.168.108.224/29 /ip firewall filter add dst-address=192.168.108.224/29 action=accept chain=forward comment=to_192.168.108.224/29 /ip firewall filter move [find comment=to_192.168.108.224/29] 0 /ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.108.224/29 action=accept chain=srcnat comment=to_192.168.108.224/29 /ip firewall nat move [find comment=to_192.168.108.224/29] 0 /ip ipsec peer remove [find address=ОФИС_УДАЛЕННЫЙ/32] /ip ipsec peer add address=ОФИС_УДАЛЕННЫЙ/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="qwerty" generate-policy=no policy-template-group=group1 exchange-mode=main send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=des dh-group=modp768 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 /ip ipsec proposal remove [find name=ОФИС_УДАЛЕННЫЙ] /ip ipsec proposal add name="default" auth-algorithms=md5 enc-algorithms=des lifetime=8h pfs-group=modp768 /ip ipsec policy remove [find dst-address=192.168.108.224/29] /ip ipsec policy add src-address=192.168.0.0/24 src-port=any dst-address=192.168.108.224/29 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=ОФИС_ЦЕНТРАЛЬНЫЙ sa-dst-address=ОФИС_УДАЛЕННЫЙ proposal=default priority=0 Подскажите как заставить одну сеть видеть другую сеть? И обратно.Сейчас пинги не ходят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 октября, 2015 · Жалоба микротик и ipsec... ну-ну :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 8 октября, 2015 · Жалоба микротик и ipsec не, ну они его активно пытаются допилить, может и выйдет каменный цветок )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 октября, 2015 · Жалоба 300 ipsec-туннелей ? Ну-ну... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vinitan Опубликовано 8 октября, 2015 (изменено) · Жалоба 300 ipsec-туннелей ? Ну-ну... Сейчас на одном из DFL-860E реально работают 200 туннелей IPSec. Подтупливает но работает. Вот и приобрели Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ для увеличения тунелей и надежности. Если есть у кого дельный совет, то прошу помочь! Изменено 8 октября, 2015 пользователем vinitan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 8 октября, 2015 · Жалоба Либо не используйте IPSec, либо не используйте микротик, одно из двух. Вот вам дельный совет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 8 октября, 2015 · Жалоба Пора бы где-то уже воедино собрать "устаревшие технологии", не поддерживаемые некротиком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 октября, 2015 · Жалоба Вот и приобрели Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ для увеличения тунелей и надежности. Вы из тех, кто лечит расстройство желудка кефиром с огурцами? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 8 октября, 2015 · Жалоба Либо не используйте IPSec, либо не используйте микротик, одно из двух. За эти деньги купили бы SRX240 и не парились Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vinitan Опубликовано 9 октября, 2015 (изменено) · Жалоба Либо не используйте IPSec, либо не используйте микротик, одно из двух. За эти деньги купили бы SRX240 и не парились Так он стоит около сотки а микротик этот 40 000 В общем я соединил длинк с микротиком этим. В настройках vpn нужно было отключить PHASE 2. Все остальные настройки в микротике стандартные которые и рекомендуют на сайтах посвященных настройке IPSec. В интернете очень много инфы по настройке айписека на микротике но нет инфы о настройке длинков серии dir и т.д. Изменено 9 октября, 2015 пользователем vinitan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 9 октября, 2015 · Жалоба Так он стоит около сотки а микротик этот 40 000 Ну значит 210 в какой-нибудь из вариаций. Все лучше, чем это поделие В интернете очень много инфы по настройке айписека на микротике но нет инфы о настройке длинков серии dir и т.д. DIR уже умеют в IPSec? я думал это только DFL могут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 октября, 2015 · Жалоба DIR уже умеют в IPSec? я думал это только DFL могут Древние DI-80x умеют, и отлично дружат с tplinkами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 12 октября, 2015 · Жалоба микротик и ipsec не, ну они его активно пытаются допилить, может и выйдет каменный цветок )) Они его "Активно" пытаются допилить уже года 4. Пока каменный цветок не очень то и выходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 12 октября, 2015 · Жалоба Древние DI-80x умеют, и отлично дружат с tplinkами. Я подозреваю, что DI и DIR это несколько разные линейки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 октября, 2015 · Жалоба А что, на устройствах в офисах нельзя поменять туннели на L2TP? Это сразу снимет все проблемы. IPSEC это устаревшая технология, производители всяких цисок и длинков очень любят такое, что бы привязывать на себя потребителей, они же не смогут соскочить на другое. Самый правильный выход, заменить все устройства в офисах на микротики. Просто сами подумайте - нужно ли вам шифрование данных, тут же сразу возникнет и понимание, почему существующие длинки подтупливают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 19 октября, 2015 · Жалоба А что, на устройствах в офисах нельзя поменять туннели на L2TP? Это сразу снимет все проблемы. IPSEC это устаревшая технология, производители всяких цисок и длинков очень любят такое, что бы привязывать на себя потребителей, они же не смогут соскочить на другое. Самый правильный выход, заменить все устройства в офисах на микротики. Просто сами подумайте - нужно ли вам шифрование данных, тут же сразу возникнет и понимание, почему существующие длинки подтупливают. Если у человека УЖЕ поднято 300 туннелей, как вы думаете, нужно оно ему или нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 19 октября, 2015 · Жалоба что бы привязывать на себя потребителей, они же не смогут соскочить на другое. А еще Juniper, CheckPoint, Palo-Alto и еще куча других вендоров, умеющих ipsec искаропки. Соскочить не получится только на микротик :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 19 октября, 2015 (изменено) · Жалоба Купил передовую платформу - а работать с устаревшими технологиями собрался? Ну как же так.... #сарказм А что, на устройствах в офисах нельзя поменять туннели на L2TP? Это сразу снимет все проблемы. IPSEC это устаревшая технология, производители всяких цисок и длинков очень любят такое, что бы привязывать на себя потребителей, они же не смогут соскочить на другое. Самый правильный выход, заменить все устройства в офисах на микротики. Просто сами подумайте - нужно ли вам шифрование данных, тут же сразу возникнет и понимание, почему существующие длинки подтупливают. Тот самый случай, когда уже ни капли не смешно. Изменено 19 октября, 2015 пользователем -Pave1- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 19 октября, 2015 · Жалоба Древние DI-80x умеют, и отлично дружат с tplinkами. Я подозреваю, что DI и DIR это несколько разные линейки Вы сами немного акцентировали на dfl онли. Я просто заметил, что и другие железки из дешевых умеют ipsec, и не только от длинк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...