Jump to content
Калькуляторы

Конфигурация микротика (с рабочей кошки 2900)

Здравствуйте, возникла необходимость замены рабочей cisco 2900 на mikrotik RB4011iGS. Сейчас наскоро копаюсь в конфигурации, случились затыки. Сетку вроде поднял, а вот с интернетом и айписеком не получается. Можете подсказать как правильно перевести конфу?

Настраиваю не в боевом режиме, через Winbox.

Затыки случились с ip nat pool my-pool

                              ip route

                              не уверен, как их перевести в микрот

 

Вот кусок c кошки

!

interface FastEthernet0
 ip address xxx.xxx.xxx.114 255.255.255.248
(эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)
!

ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.113 (эту часть в микротик засунул через IP-routes, добавив правило Dst. Address 0.0.0.0/0 Gateway 212.34.42.113, Check Gateway ping Dist. 1)

!
ip nat pool my-pool xxx.xxx.xxx.115 xxx.xxx.xxx.115 netmask 255.255.255.248
(эту часть в микротик не засунул, не понимаю куда его в фаерволе пускать)

 

где xxx.xxx.xxx 113-115 - провайдер


 

Edited by finse

Share this post


Link to post
Share on other sites

И еще, в настройках кошки, в ipsec у меня указано

crypto ipsec transform-set my-trans esp-des

 

Правильно ли я понял (покурив форумы) что для того, чтобы микротик выполнял ipsec по тем же методам, надо выставить значения 

auth. algorithms md5

encr.algorithms des

Share this post


Link to post
Share on other sites

По поводу ipsec

в кошке проверил sh crypto isakmp sa detail

показал, что

encr des

hash sha

auth psk

 

Такие параметры можно залить в микрот?

Share this post


Link to post
Share on other sites
2 часа назад, finse сказал:

ip nat pool my-pool xxx.xxx.xxx.115 xxx.xxx.xxx.115 netmask 255.255.255.248

Уточняющий вопрос. Вижу у Вас два адреса, один заканчивается на ".114", другой на ".115". Они оба на внешнем интерфейсе были?
Процитированная команда, на микротике соответствует параметру "to-addresses", в правиле NAT. К какому адресу производить трансляцию. Например:
"/ip firewall nat add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.115" (сокращенный вариант. без критериев. не рекомендуется)
Правильнее с критериями:
"/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 action=src-nat to-addresses=xxx.xxx.xxx.115" (адреса локалки и имя внешнего интерфейса подставьте свои)

 

2 часа назад, finse сказал:

где xxx.xxx.xxx 113-115 - провайдер

Неясная ситуация.
.113 - догадываюсь, что это шлюз провайдера
.114 - адрес на Вашем интерфейсе.
.115 - что за за адрес?

Edited by nkusnetsov

Share this post


Link to post
Share on other sites
47 минут назад, nkusnetsov сказал:

Уточняющий вопрос. Вижу у Вас два адреса, один заканчивается на ".114", другой на ".115". Они оба на внешнем интерфейсе были?
Процитированная команда, на микротике соответствует параметру "to-addresses", в правиле NAT. К какому адресу производить трансляцию. Например:
"/ip firewall nat add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.115" (сокращенный вариант. без критериев. не рекомендуется)
Правильнее с критериями:
"/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 action=src-nat to-addresses=xxx.xxx.xxx.115" (адреса локалки и имя внешнего интерфейса подставьте свои)

 

Неясная ситуация.
.113 - догадываюсь, что это шлюз провайдера
.114 - адрес на Вашем интерфейсе.
.115 - что за за адрес?

 

спасибо большое за ответ и рекомендации.

 

.113 действительно шлюз

.114 действительно адрес на интерфейсе

.115 я так понял это пул адресов выдаваемый устройствам для nat. Именно этот айпи выдают проверки myipaddress.

Share this post


Link to post
Share on other sites
8 минут назад, finse сказал:

.115 я так понял это пул адресов выдаваемый устройствам для nat. Именно этот айпи выдают проверки myipaddress.

Тогда этот адрес тоже лучше добавить на внешний интерфейс аналогично ".114" :

"эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)"

т.к., в отличие от циски, на микротике по-умолчанию выключен proxy-arp, и иначе ответы идущие на .115 могут не приниматься без адреса.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites
2 часа назад, finse сказал:

И еще, в настройках кошки, в ipsec у меня указано

crypto ipsec transform-set my-trans esp-des

 

Правильно ли я понял (покурив форумы) что для того, чтобы микротик выполнял ipsec по тем же методам, надо выставить значения 

auth. algorithms md5

encr.algorithms des

Да, такие флажки должны стоять в IPSec policy proposal . Но это ОЧЕНЬ слабая криптография- года так 1993-го. Её нынче можно на телефоне брутфорсить на лету. Вы уверены, что клиенты не поддерживают ничего лучше?

 

 

2 часа назад, finse сказал:

encr des

hash sha

auth psk

Да. В свойствах создаваемого IPSec Peer указывает SHA1 для Hash, DES для Encryption, адрес 0.0.0.0/0 и в поле IPSec secret вбиваете PSK из конфига Cisco. Опять же, настоятельно рекомендуется пересмотреть. 

Share this post


Link to post
Share on other sites
15 часов назад, nkusnetsov сказал:

Тогда этот адрес тоже лучше добавить на внешний интерфейс аналогично ".114" :

"эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)"

т.к., в отличие от циски, на микротике по-умолчанию выключен proxy-arp, и иначе ответы идущие на .115 могут не приниматься без адреса.



Отлично, я добавил этот адрес.

 

Очень расстроился когда поставил микротик, заработал интернет, заработала локалка, но с кошками микротик не подружился.

 

Ладно, поменял вторую кошку тоже на микротик.

Случилось следующее:

1) пинг от mikrotik1 - mikrotik2 есть

2) winbox'ом до микротика в другой сети не достучаться. Остальные компьютеры в другой сети не пингуются.

3) если зайти в Installed SAs, то можно увидеть соединение с другим микротиком, но обмениваться байтами они не хотят.

4) в графе Peers микротики мне тоже намекают красным, что Unsafe configuration, suggestion to use certificates.

 

Я подозреваю что ошибка кроется в деталях

@на втором роутере passive=no, кто-то должен быть инициатором начала обмена ключами

 

У нас еще есть почта exchange (.116) и relay(.117), которая смогла отравить, но не принять за nat почту (причем яндекс предупредил, что мы, возможно, стали плохими ребятами (нет сертификата и подписи))

В циске прописаны ip nat inside source static tcp extendable до локальной машины с портами 587 и 993 я так понимаю надо прописать в моем случае

/ip firewall nat add action=same chain=srcnat out-interface=ether5-WAN to-addresses=192.168.0.10-xxx.xxx.xxx.116 (почта), хммм а где порты писать?
/ip firewall nat add action=same chain=srcnat out-interface=ether5-WAN to-addresses=192.168.0.11-xxx.xxx.xxx.117 (relay), хммм а где порты писать?

 

Кстати, masquerade в firewall NAT надо включать? Мне кажется нет.

 

Спасибо большое за помощь, ребята, я на Вас рассчитываю :)

Edited by finse

Share this post


Link to post
Share on other sites
2 часа назад, finse сказал:

Кстати, masquerade в firewall NAT надо включать? Мне кажется нет.

Старайтесь не пользоваться masquerade опцией вообще, насколько это возможно - трафик натурально может пойти куда попало. Пользуйтесь src-nat. 

 

Вам надо сделать правило src-nat , чтобы трафик с почтаря наружу шел от определенного публичного IP, типа:

 

/ip firewall nat add chain=srcnat src-address=внутреннийIP action=src-nat to-addresses=внешнийIP out-interface=внешнийинтерфейс

 

Рекомендую после этого в винбоксе передвинуть это правило src-nat так, чтобы оно стояло ранее общего правила src-nat

 

и опубликовать порты снаружи на почтарь через dst-nat

 

/ip firewall nat add chain=dstnat dst-address=внешнийIP dst-port=нужныйпорт action=dst-nat protocol=tcp to-address=внутреннийIP to-port=нужныйпорт

 

Если вы уже сделали правила firewall, надо добавить отдельное правило, разрешающее dst-nat трафик:

 

/ip firewall filter add chain=forward connection-nat-state dstnat 

 

и опять же в винбоксе проверить, что оно стоит раньше правила drop all.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this