Конфигурация микротика (с рабочей кошки 2900)

[finse]

Здравствуйте, возникла необходимость замены рабочей cisco 2900 на mikrotik RB4011iGS. Сейчас наскоро копаюсь в конфигурации, случились затыки. Сетку вроде поднял, а вот с интернетом и айписеком не получается. Можете подсказать как правильно перевести конфу?

Настраиваю не в боевом режиме, через Winbox.

Затыки случились с ip nat pool my-pool

                              ip route

                              не уверен, как их перевести в микрот

 

Вот кусок c кошки

!

interface FastEthernet0
 ip address xxx.xxx.xxx.114 255.255.255.248 (эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)
!

ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.113 (эту часть в микротик засунул через IP-routes, добавив правило Dst. Address 0.0.0.0/0 Gateway 212.34.42.113, Check Gateway ping Dist. 1)

!
ip nat pool my-pool xxx.xxx.xxx.115 xxx.xxx.xxx.115 netmask 255.255.255.248 (эту часть в микротик не засунул, не понимаю куда его в фаерволе пускать)

 

где xxx.xxx.xxx 113-115 - провайдер

 

Edited January 28, 2019 by finse

[finse]

И еще, в настройках кошки, в ipsec у меня указано

crypto ipsec transform-set my-trans esp-des

 

Правильно ли я понял (покурив форумы) что для того, чтобы микротик выполнял ipsec по тем же методам, надо выставить значения 

auth. algorithms md5

encr.algorithms des

[finse]

По поводу ipsec

в кошке проверил sh crypto isakmp sa detail

показал, что

encr des

hash sha

auth psk

 

Такие параметры можно залить в микрот?

[nkusnetsov]

2 часа назад, finse сказал:

ip nat pool my-pool xxx.xxx.xxx.115 xxx.xxx.xxx.115 netmask 255.255.255.248

Уточняющий вопрос. Вижу у Вас два адреса, один заканчивается на ".114", другой на ".115". Они оба на внешнем интерфейсе были?
Процитированная команда, на микротике соответствует параметру "to-addresses", в правиле NAT. К какому адресу производить трансляцию. Например:
"/ip firewall nat add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.115" (сокращенный вариант. без критериев. не рекомендуется)
Правильнее с критериями:
"/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 action=src-nat to-addresses=xxx.xxx.xxx.115" (адреса локалки и имя внешнего интерфейса подставьте свои)

 

2 часа назад, finse сказал:

где xxx.xxx.xxx 113-115 - провайдер

Неясная ситуация.
.113 - догадываюсь, что это шлюз провайдера
.114 - адрес на Вашем интерфейсе.
.115 - что за за адрес?

Edited January 28, 2019 by nkusnetsov

[finse]

47 минут назад, nkusnetsov сказал:

Уточняющий вопрос. Вижу у Вас два адреса, один заканчивается на ".114", другой на ".115". Они оба на внешнем интерфейсе были?
Процитированная команда, на микротике соответствует параметру "to-addresses", в правиле NAT. К какому адресу производить трансляцию. Например:
"/ip firewall nat add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.115" (сокращенный вариант. без критериев. не рекомендуется)
Правильнее с критериями:
"/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 action=src-nat to-addresses=xxx.xxx.xxx.115" (адреса локалки и имя внешнего интерфейса подставьте свои)

 

Неясная ситуация.
.113 - догадываюсь, что это шлюз провайдера
.114 - адрес на Вашем интерфейсе.
.115 - что за за адрес?

 

спасибо большое за ответ и рекомендации.

 

.113 действительно шлюз

.114 действительно адрес на интерфейсе

.115 я так понял это пул адресов выдаваемый устройствам для nat. Именно этот айпи выдают проверки myipaddress.

[nkusnetsov]

8 минут назад, finse сказал:

.115 я так понял это пул адресов выдаваемый устройствам для nat. Именно этот айпи выдают проверки myipaddress.

Тогда этот адрес тоже лучше добавить на внешний интерфейс аналогично ".114" :

"эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)"

т.к., в отличие от циски, на микротике по-умолчанию выключен proxy-arp, и иначе ответы идущие на .115 могут не приниматься без адреса.

Edited January 28, 2019 by nkusnetsov

[jffulcrum]

2 часа назад, finse сказал:

И еще, в настройках кошки, в ipsec у меня указано

crypto ipsec transform-set my-trans esp-des

 

Правильно ли я понял (покурив форумы) что для того, чтобы микротик выполнял ipsec по тем же методам, надо выставить значения 

auth. algorithms md5

encr.algorithms des

Да, такие флажки должны стоять в IPSec policy proposal . Но это ОЧЕНЬ слабая криптография- года так 1993-го. Её нынче можно на телефоне брутфорсить на лету. Вы уверены, что клиенты не поддерживают ничего лучше?

 

 

2 часа назад, finse сказал:

encr des

hash sha

auth psk

Да. В свойствах создаваемого IPSec Peer указывает SHA1 для Hash, DES для Encryption, адрес 0.0.0.0/0 и в поле IPSec secret вбиваете PSK из конфига Cisco. Опять же, настоятельно рекомендуется пересмотреть. 

[finse]

15 часов назад, nkusnetsov сказал:

Тогда этот адрес тоже лучше добавить на внешний интерфейс аналогично ".114" :

"эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)"

т.к., в отличие от циски, на микротике по-умолчанию выключен proxy-arp, и иначе ответы идущие на .115 могут не приниматься без адреса.



Отлично, я добавил этот адрес.

 

Очень расстроился когда поставил микротик, заработал интернет, заработала локалка, но с кошками микротик не подружился.

 

Ладно, поменял вторую кошку тоже на микротик.

Случилось следующее:

1) пинг от mikrotik1 - mikrotik2 есть

2) winbox'ом до микротика в другой сети не достучаться. Остальные компьютеры в другой сети не пингуются.

3) если зайти в Installed SAs, то можно увидеть соединение с другим микротиком, но обмениваться байтами они не хотят.

4) в графе Peers микротики мне тоже намекают красным, что Unsafe configuration, suggestion to use certificates.

 

Я подозреваю что ошибка кроется в деталях

@на втором роутере passive=no, кто-то должен быть инициатором начала обмена ключами

 

У нас еще есть почта exchange (.116) и relay(.117), которая смогла отравить, но не принять за nat почту (причем яндекс предупредил, что мы, возможно, стали плохими ребятами (нет сертификата и подписи))

В циске прописаны ip nat inside source static tcp extendable до локальной машины с портами 587 и 993 я так понимаю надо прописать в моем случае

/ip firewall nat add action=same chain=srcnat out-interface=ether5-WAN to-addresses=192.168.0.10-xxx.xxx.xxx.116 (почта), хммм а где порты писать?

/ip firewall nat add action=same chain=srcnat out-interface=ether5-WAN to-addresses=192.168.0.11-xxx.xxx.xxx.117 (relay), хммм а где порты писать?

 

Кстати, masquerade в firewall NAT надо включать? Мне кажется нет.

 

Спасибо большое за помощь, ребята, я на Вас рассчитываю :)

Edited January 29, 2019 by finse

[jffulcrum]

2 часа назад, finse сказал:

Кстати, masquerade в firewall NAT надо включать? Мне кажется нет.

Старайтесь не пользоваться masquerade опцией вообще, насколько это возможно - трафик натурально может пойти куда попало. Пользуйтесь src-nat. 

 

Вам надо сделать правило src-nat , чтобы трафик с почтаря наружу шел от определенного публичного IP, типа:

 

/ip firewall nat add chain=srcnat src-address=внутреннийIP action=src-nat to-addresses=внешнийIP out-interface=внешнийинтерфейс

 

Рекомендую после этого в винбоксе передвинуть это правило src-nat так, чтобы оно стояло ранее общего правила src-nat

 

и опубликовать порты снаружи на почтарь через dst-nat

 

/ip firewall nat add chain=dstnat dst-address=внешнийIP dst-port=нужныйпорт action=dst-nat protocol=tcp to-address=внутреннийIP to-port=нужныйпорт

 

Если вы уже сделали правила firewall, надо добавить отдельное правило, разрешающее dst-nat трафик:

 

/ip firewall filter add chain=forward connection-nat-state dstnat 

 

и опять же в винбоксе проверить, что оно стоит раньше правила drop all.