Jump to content
Калькуляторы

ipsec site-to-site in tunnel mode

Доброго времени суток, уважаемые форумчане! есть задача зашифровать данные туннелем ipsec между двумя подсетями за натом. wan адреса обоих роутеров белые. Lan адреса висят на бриджах.

собственно вот конфиг

версии пакетов на обоих роутерах 6.34.4

модели одинаковые

routerboard: yes

model: 951G-2HnD

firmware-type: ar9344

factory-firmware: 3.17

current-firmware: 3.30

# apr/01/2016 20:55:23 by RouterOS 6.34.4

 

#

/ip ipsec mode-config

set (unknown) name=request-only send-dns=yes

/ip ipsec policy group

set group5 name=group5

/ip ipsec proposal

set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\

aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024

/ip ipsec peer

add address=BBBB auth-method=pre-shared-key dh-group=modp1024 \

disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\

aes-128,3des exchange-mode=main generate-policy=no hash-algorithm=sha1 \

lifebytes=0 lifetime=1d local-address=:: nat-traversal=no passive=no \

policy-template-group=group5 port=500 proposal-check=obey secret=1234 \

send-initial-contact=yes

/ip ipsec policy

set 0 disabled=yes dst-address=::/0 group=group5 proposal=default protocol=\

all src-address=::/0 template=yes

add disabled=no dst-address=192.168.30.0/24 group=group5 proposal=default \

protocol=all src-address=192.168.88.0/24 template=yes

 

 

 

 

 

 

# apr/01/2016 20:56:49 by RouterOS 6.34.4

/ip ipsec mode-config

set (unknown) name=request-only send-dns=yes

/ip ipsec policy group

set default name=default

/ip ipsec proposal

set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\

aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024

/ip ipsec peer

add address=AAAA auth-method=pre-shared-key dh-group=modp1024 \

disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\

aes-128,3des exchange-mode=main generate-policy=no hash-algorithm=sha1 \

lifebytes=0 lifetime=1d local-address=:: nat-traversal=no passive=no \

policy-template-group=default port=500 proposal-check=obey secret=1234 \

send-initial-contact=yes

/ip ipsec policy

set 0 disabled=no dst-address=192.168.88.0/24 group=default proposal=default \

protocol=all src-address=192.168.30.0/24 template=yes

 

на обоих роутерах происходит согласование первой фазы,далее INSTALLED-SA не появляются. ПРикрепил скрин дебага. На обоих роутерах картинка дебаггинга одинакова. пробовал на нескольких моделях.

Буду очень благодарен за помощь.

post-129499-092369700 1459531038_thumb.png

Edited by jeves

Share this post


Link to post
Share on other sites

Ну вот, стал искать, где бы мне задать вопрос по IPSec на Mikrotk, а тут сразу напоролся на похожую тему.

У меня вопрос по производительности, потому в другой топ сделаю. А к Вам, Jeves, у меня вопрос такой. Если у вас оба адреса белые, то зачем l2tp? Я в таких случаях делаю просто ipsec туннель на белые адреса:

> ip ipsec policy print 
1     src-address=172.17.100.0/24 src-port=any dst-address=172.17.101.0/24 dst-port=any protocol=all 
      action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=хх.хх.хх.хх 
      sa-dst-address=yy.yy.yy.yy proposal=default priority=0

> ip ipsec peer print  
0    address=yy.yy.yy.yy/32 local-address=:: passive=no port=500 auth-method=pre-shared-key 
     secret="password" generate-policy=no policy-template-group=*FFFFFFFF exchange-mode=main 
     send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des 
     dh-group=modp1024 lifetime=1h lifebytes=0 dpd-interval=10s dpd-maximum-failures=5 

Ну и правило NAT'а для соответствующих сетей:

> ip firewall nat print  
0    chain=srcnat action=accept src-address=172.17.100.0/24 dst-address=172.17.101.0/24 log=no log-prefix=""

На втором маршрутизаторе зеркально..

Минус - такая конфигурация не поддерживает динамическую маршрутизацию.

 

Свежей головой взглянул на Вашу конфигурацию. В настройках политик у вас нет ни sa-src-address, ни sa-dst-address.

Edited by thdonatello

Share this post


Link to post
Share on other sites

thdonatello , спасибо. sa-src-address, sa-dst-address у меня обнолялось, поэтому отсутствовало в конфиге.

я сделал как тут https://major.io/2015/05/27/adventures-with-gre-and-ipsec-on-mikrotik-routers/ использовал GRE over ipsec . Сейчас все нормально. Можно вообще не париться с политиками Ipsec, пирами и прочим, при создании gre туннеля указать опция ipsec secret и он сам динамически создает всё.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.