finse Posted February 11, 2019 · Report post Добрый день, коллеги. Столкнулся со следующей проблемой. Дано: 5 микротиков и 2 провайдера. Ipsec: Auth. Alg.: sha1 / Encr. Alg: 3des / PFS Group: modp 1024 1 Провайдер все 4 микротика имеют практически одинаковые настройки фаервола и идентичные настройки IPsec. Видят друг дружку прекрасно, т.к. находятся, при этом, в L2 сети провайдера. 2 Провайдер Его видят микротики из 1-ой сети. Подключаются по рдп и всячески ходят по нему. Микротик из второго провайдера не видит совсем первого провайдера, ни icmp, ни rdp, ничего. Вопрос в чем может быть проблема? Дефолт рулс айписека и фаервола вкладываю. Соответственно Микр 1 192.168.1.0/24 1.1.1.1 Микр 2 192.168.2.0/24 2.2.2.2 Микр 1 /ip firewall filter remove [find comment=to_192.168.2.0/24] /ip firewall filter add src-address=2.2.2.2 action=accept chain=input comment=to_192.168.2.0/24 /ip firewall filter add dst-address=2.2.2.2 action=accept chain=output comment=to_192.168.2.0/24 /ip firewall filter add src-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24 /ip firewall filter add dst-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24 /ip firewall filter move [find comment=to_192.168.2.0/24] 0 /ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=accept chain=srcnat comment=to_192.168.2.0/24 /ip firewall nat move [find comment=to_192.168.2.0/24] 0 /ip ipsec peer add address=2.2.2.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret="Phase" /ip ipsec proposal add name=2.2.2.2 enc-algorithms=3des auth-algorithms=sha1 lifetime=8h /ip ipsec policy add dst-address=192.168.2.0/24 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes proposal=2.2.2.2 Микр 2 /ip firewall filter remove [find comment=to_192.168.1.0/24] /ip firewall filter add src-address=1.1.1.1 action=accept chain=input comment=to_192.168.1.0/24 /ip firewall filter add dst-address=1.1.1.1 action=accept chain=output comment=to_192.168.1.0/24 /ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter move [find comment=to_192.168.1.0/24] 0 /ip firewall nat add src-address=192.168.2.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat comment=to_192.168.1.0/24 /ip firewall nat move [find comment=to_192.168.1.0/24] 0 /ip ipsec peer add address=1.1.1.1/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret="Phase" /ip ipsec proposal add name=1.1.1.1 enc-algorithms=3des auth-algorithms=sha1 lifetime=8h /ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes proposal=1.1.1.1 Конфиг мастерил в https://tugibaev.ru/mikrotik_ipsec/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 11, 2019 · Report post Ничего не понятно в исходных условиях. Зачем NAT - непонятно. Зачем туннель в IPSec политике, если все устройства в L2 - непонятно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted February 11, 2019 · Report post 1 hour ago, finse said: Вопрос в чем может быть проблема? Дефолт рулс айписека и фаервола вкладываю. Соответственно Микр 1 192.168.1.0/24 1.1.1.1 Микр 2 192.168.2.0/24 2.2.2.2 Какая именно проблема? У вас туннель между 2-мя микротиками, за первым локальная подсеть 1.0, за вторым 2.0. Так из подсети 1.0 нет доступа в 2.0, или из 2.0 нет доступа в 1.0 ? Или вообще нет доступа между локальными подсетями ? И какое отношение к этому туннелю имеют остальные 3 микротика ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
finse Posted February 11, 2019 (edited) · Report post 44 минуты назад, McSea сказал: Какая именно проблема? У вас туннель между 2-мя микротиками, за первым локальная подсеть 1.0, за вторым 2.0. Так из подсети 1.0 нет доступа в 2.0, или из 2.0 нет доступа в 1.0 ? Или вообще нет доступа между локальными подсетями ? И какое отношение к этому туннелю имеют остальные 3 микротика ? Так 1-2-3-4 микротика в одной сети провайдера по L2 5 микротик в другом провайдере Условно из каждого микротика провайдера №1 (которые в L2) виден 5 микротик из другого провайдера №2 (можно зайти по RDP, ICMP ходит) Из 5 микротика провайдера №2 не видно ни одного микротика из провайдера №1 (нельзя зайти по RDP и ICMP не ходит) Прикладываю корявую схему Логи смотреть бессмысленно, все ходит, ошибок нет. Получается из 1.0 видна вся сеть 2.0, а вот из 2.0 вообще нет доступа в 1.0. Остальные 3 микротика как и 1.0 видят 2.0, но 2.0 их в упор не видит. Edited February 11, 2019 by finse Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted February 11, 2019 · Report post Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ? И для примера взяли один из них ? Тогда давайте полные конфиги уже с туннелями 5-го и другого. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
finse Posted February 11, 2019 · Report post 22 минуты назад, McSea сказал: Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ? И для примера взяли один из них ? Тогда давайте полные конфиги уже с туннелями 5-го и другого. Хорошо, завтра с утра. Все на работе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
finse Posted February 12, 2019 · Report post 13 часов назад, McSea сказал: Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ? И для примера взяли один из них ? Тогда давайте полные конфиги уже с туннелями 5-го и другого. Конфиг одного из L2 Микротика 000.000.000.134 - локальная сеть 192.168.3.0 100.100.100.114 ##### (L2 Микротик) 192.168.8.0 200.200.200.130 ##### (L2 Микротик) 192.168.2.0 300.300.300.154 ###### (5 Микротик второго провайдера) 192.168.10.0 Жду пока привезут второй. Он настроен по аналогии с этим, разве что инверсия ip адресов. # # model = RB4011iGS+ # serial number = |Serial| /interface bridge add name=br1-lan /interface ethernet set [ find default-name=ether1 ] mac-address=MAC:13 set [ find default-name=ether2 ] mac-address=MAC:14 name=\ "ether2-for console" set [ find default-name=ether3 ] name=ether3-wan set [ find default-name=ether4 ] name=ether4-lan set [ find default-name=ether5 ] mac-address=MAC:17 name=\ ether5-lan set [ find default-name=ether6 ] mac-address=MAC:18 name=\ ether6-lan set [ find default-name=ether7 ] mac-address=MAC:19 name=\ ether7-lan set [ find default-name=ether8 ] mac-address=MAC:1A name=\ ether8-lan set [ find default-name=ether9 ] mac-address=MAC:1B name=\ ether9-lan set [ find default-name=ether10 ] mac-address=MAC:1C name=\ ether10-lan set [ find default-name=sfp-sfpplus1 ] mac-address=MAC:1D /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec peer profile set [ find default=yes ] dh-group=modp1024 enc-algorithm=3des hash-algorithm=\ md5 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=3des add enc-algorithms=3des lifetime=8h name=100.100.100.114 ##### (L2 Микротик) add enc-algorithms=3des lifetime=8h name=200.200.200.130 ##### (L2 Микротик) add enc-algorithms=3des lifetime=8h name=300.300.300.154 ###### (5 Микротик второго провайдера) /interface bridge port add bridge=br1-lan interface=ether4-lan add bridge=br1-lan interface=ether5-lan add bridge=br1-lan interface=ether6-lan add bridge=br1-lan interface=ether7-lan add bridge=br1-lan interface=ether8-lan add bridge=br1-lan interface=ether9-lan add bridge=br1-lan interface=ether10-lan /interface list member add interface=br1-lan list=LAN add interface=ether1 list=WAN /ip address add address=000.000.000.134/28 interface=ether3-wan network=000.000.000.128 add address=192.168.3.1/24 interface=br1-lan network=192.168.3.0 add address=000.000.000.129 interface=ether3-wan network=000.000.000.129 /ip dns set servers=DNS провайдера /ip dns static add address=192.168.3.1 name=MYLAN /ip firewall filter add chain=forward connection-nat-state=dstnat add action=accept chain=input comment=to_192.168.2.0/24 src-address=\ 200.200.200.130 ##### (L2 Микротик) add action=accept chain=output comment=to_192.168.2.0/24 dst-address=\ 200.200.200.130 ##### (L2 Микротик) add action=accept chain=forward comment=to_192.168.2.0/24 src-address=\ 192.168.2.0/24 add action=accept chain=forward comment=to_192.168.2.0/24 dst-address=\ 192.168.2.0/24 add action=accept chain=input comment=to_192.168.10.0/24 src-address=\ 300.300.300.154 ###### (5 Микротик второго провайдера) add action=accept chain=output comment=to_192.168.10.0/24 dst-address=\ 300.300.300.154 ###### (5 Микротик второго провайдера) add action=accept chain=forward comment=to_192.168.10.0/24 src-address=\ 192.168.10.0/24 add action=accept chain=forward comment=to_192.168.10.0/24 dst-address=\ 192.168.10.0/24 add action=accept chain=input comment=to_192.168.8.0/24 src-address=\ 100.100.100.114 ##### (L2 Микротик) add action=accept chain=output comment=to_192.168.8.0/24 dst-address=\ 100.100.100.114 ##### (L2 Микротик) add action=accept chain=forward comment=to_192.168.8.0/24 src-address=\ 192.168.8.0/24 add action=accept chain=forward comment=to_192.168.8.0/24 dst-address=\ 192.168.8.0/24 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether3-wan add action=accept chain=srcnat comment=to_192.168.2.0/24 dst-address=\ 192.168.2.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.8.0/24 dst-address=\ 192.168.8.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.10.0/24 dst-address=\ 192.168.10.0/24 src-address=192.168.3.0/24 /ip ipsec peer add address=200.200.200.130/32 secret=secret ##### (L2 Микротик) add address=100.100.100.114/32 secret=secret ##### (L2 Микротик) add address=300.300.300.154/32 secret=secret ###### (5 Микротик второго провайдера) /ip ipsec policy set 0 disabled=yes add dst-address=192.168.8.0/24 proposal=100.100.100.114 sa-dst-address=\ ##### (L2 Микротик) 100.100.100.114 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ tunnel=yes add dst-address=192.168.2.0/24 proposal=200.200.200.130 sa-dst-address=\ ##### (L2 Микротик) 200.200.200.130 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ tunnel=yes add dst-address=192.168.10.0/24 proposal=300.300.300.154 sa-dst-address=\ 300.300.300.154 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ ###### (5 Микротик второго провайдера) tunnel=yes /ip route add check-gateway=ping distance=1 gateway=000.000.000.129 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh port=5556 set api disabled=yes set api-ssl disabled=yes /ip upnp set enabled=yes /ip upnp interfaces add interface=ether3-wan type=external add interface=br1-lan type=internal /system clock set time-zone-name=Europe/Moscow /system identity set name=MYLAN /system routerboard settings set silent-boot=no Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted February 12, 2019 (edited) · Report post 7 hours ago, finse said: /ip firewall nat add action=masquerade chain=srcnat out-interface=ether3-wan add action=accept chain=srcnat comment=to_192.168.2.0/24 dst-address=\ 192.168.2.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.8.0/24 dst-address=\ 192.168.8.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.10.0/24 dst-address=\ 192.168.10.0/24 src-address=192.168.3.0/24 А почему у вас правила, исключающие ipsec трафик из маскарадинга, идут ниже самого правила маскарадинга ? В скрипте же "move 0" есть специально, чтобы в начало их поставить. Можно добавить к правилу маскарадинга "ipsec-policy=out,none" и эти доп.правила будут не нужны вообще. Использования слабых алгоритмов шифрование/аутентификации чем обусловлено ? 4011 имеет аппаратное ускорение шифрования, на другой стороне что-то слабое стоит ? Edited February 12, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
finse Posted February 12, 2019 · Report post 2 часа назад, McSea сказал: А почему у вас правила, исключающие ipsec трафик из маскарадинга, идут ниже самого правила маскарадинга ? В скрипте же "move 0" есть специально, чтобы в начало их поставить. Можно добавить к правилу маскарадинга "ipsec-policy=out,none" и эти доп.правила будут не нужны вообще. Использования слабых алгоритмов шифрование/аутентификации чем обусловлено ? 4011 имеет аппаратное ускорение шифрования, на другой стороне что-то слабое стоит ? С алгоритмами согласен. Опять же их можно сменить в любой момент. Пока что это тестовый стенд. Буду рад, если вы сразу "направите на путь истинный", т.к. слабого оборудования не будет стоять на сторонах. Спасибо за наводку маскарадинга, правильная мысль! Протестировать не могу в ближайшее время, как будут тесты - сообщу. Есть еще идеи? Странная вещь, одна сторона видит другую, но не обратно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted February 24, 2019 · Report post а без микротиков точки вообще друг друга видят? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...