jeves Posted April 1, 2016 (edited) · Report post Доброго времени суток, уважаемые форумчане! есть задача зашифровать данные туннелем ipsec между двумя подсетями за натом. wan адреса обоих роутеров белые. Lan адреса висят на бриджах. собственно вот конфиг версии пакетов на обоих роутерах 6.34.4 модели одинаковые routerboard: yes model: 951G-2HnD firmware-type: ar9344 factory-firmware: 3.17 current-firmware: 3.30 # apr/01/2016 20:55:23 by RouterOS 6.34.4 # /ip ipsec mode-config set (unknown) name=request-only send-dns=yes /ip ipsec policy group set group5 name=group5 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\ aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer add address=BBBB auth-method=pre-shared-key dh-group=modp1024 \ disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\ aes-128,3des exchange-mode=main generate-policy=no hash-algorithm=sha1 \ lifebytes=0 lifetime=1d local-address=:: nat-traversal=no passive=no \ policy-template-group=group5 port=500 proposal-check=obey secret=1234 \ send-initial-contact=yes /ip ipsec policy set 0 disabled=yes dst-address=::/0 group=group5 proposal=default protocol=\ all src-address=::/0 template=yes add disabled=no dst-address=192.168.30.0/24 group=group5 proposal=default \ protocol=all src-address=192.168.88.0/24 template=yes # apr/01/2016 20:56:49 by RouterOS 6.34.4 /ip ipsec mode-config set (unknown) name=request-only send-dns=yes /ip ipsec policy group set default name=default /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\ aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer add address=AAAA auth-method=pre-shared-key dh-group=modp1024 \ disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\ aes-128,3des exchange-mode=main generate-policy=no hash-algorithm=sha1 \ lifebytes=0 lifetime=1d local-address=:: nat-traversal=no passive=no \ policy-template-group=default port=500 proposal-check=obey secret=1234 \ send-initial-contact=yes /ip ipsec policy set 0 disabled=no dst-address=192.168.88.0/24 group=default proposal=default \ protocol=all src-address=192.168.30.0/24 template=yes на обоих роутерах происходит согласование первой фазы,далее INSTALLED-SA не появляются. ПРикрепил скрин дебага. На обоих роутерах картинка дебаггинга одинакова. пробовал на нескольких моделях. Буду очень благодарен за помощь. Edited April 1, 2016 by jeves Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeves Posted April 5, 2016 · Report post а что никто из вас трафик не шифрует? и так всё секьюрно по L2tp шарашит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
thdonatello Posted April 5, 2016 (edited) · Report post Ну вот, стал искать, где бы мне задать вопрос по IPSec на Mikrotk, а тут сразу напоролся на похожую тему. У меня вопрос по производительности, потому в другой топ сделаю. А к Вам, Jeves, у меня вопрос такой. Если у вас оба адреса белые, то зачем l2tp? Я в таких случаях делаю просто ipsec туннель на белые адреса: > ip ipsec policy print 1 src-address=172.17.100.0/24 src-port=any dst-address=172.17.101.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=хх.хх.хх.хх sa-dst-address=yy.yy.yy.yy proposal=default priority=0 > ip ipsec peer print 0 address=yy.yy.yy.yy/32 local-address=:: passive=no port=500 auth-method=pre-shared-key secret="password" generate-policy=no policy-template-group=*FFFFFFFF exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1h lifebytes=0 dpd-interval=10s dpd-maximum-failures=5 Ну и правило NAT'а для соответствующих сетей: > ip firewall nat print 0 chain=srcnat action=accept src-address=172.17.100.0/24 dst-address=172.17.101.0/24 log=no log-prefix="" На втором маршрутизаторе зеркально.. Минус - такая конфигурация не поддерживает динамическую маршрутизацию. Свежей головой взглянул на Вашу конфигурацию. В настройках политик у вас нет ни sa-src-address, ни sa-dst-address. Edited April 6, 2016 by thdonatello Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeves Posted April 18, 2016 · Report post thdonatello , спасибо. sa-src-address, sa-dst-address у меня обнолялось, поэтому отсутствовало в конфиге. я сделал как тут https://major.io/2015/05/27/adventures-with-gre-and-ipsec-on-mikrotik-routers/ использовал GRE over ipsec . Сейчас все нормально. Можно вообще не париться с политиками Ipsec, пирами и прочим, при создании gre туннеля указать опция ipsec secret и он сам динамически создает всё. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...