[finse]

Добрый день, коллеги.

Столкнулся со следующей проблемой.

Дано: 5 микротиков и 2 провайдера.

Ipsec: Auth. Alg.: sha1 / Encr. Alg: 3des / PFS Group: modp 1024

1 Провайдер

все 4 микротика имеют практически одинаковые настройки фаервола и идентичные настройки IPsec. Видят друг дружку прекрасно, т.к. находятся, при этом, в L2 сети провайдера.

2 Провайдер

Его видят микротики из 1-ой сети. Подключаются по рдп и всячески ходят по нему. Микротик из второго провайдера не видит совсем первого провайдера, ни icmp, ни rdp, ничего.

 

Вопрос в чем может быть проблема? Дефолт рулс айписека и фаервола вкладываю. Соответственно Микр 1 192.168.1.0/24 1.1.1.1 Микр 2 192.168.2.0/24 2.2.2.2

Микр 1

/ip firewall filter remove [find comment=to_192.168.2.0/24]
/ip firewall filter add src-address=2.2.2.2 action=accept chain=input comment=to_192.168.2.0/24
/ip firewall filter add dst-address=2.2.2.2 action=accept chain=output comment=to_192.168.2.0/24
/ip firewall filter add src-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24
/ip firewall filter add dst-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24
/ip firewall filter move [find comment=to_192.168.2.0/24] 0

/ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=accept chain=srcnat comment=to_192.168.2.0/24
/ip firewall nat move [find comment=to_192.168.2.0/24] 0

/ip ipsec peer add address=2.2.2.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret="Phase"

/ip ipsec proposal add name=2.2.2.2 enc-algorithms=3des auth-algorithms=sha1  lifetime=8h

/ip ipsec policy add dst-address=192.168.2.0/24 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes proposal=2.2.2.2

Микр 2

/ip firewall filter remove [find comment=to_192.168.1.0/24]
/ip firewall filter add src-address=1.1.1.1 action=accept chain=input comment=to_192.168.1.0/24
/ip firewall filter add dst-address=1.1.1.1 action=accept chain=output comment=to_192.168.1.0/24
/ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24
/ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24
/ip firewall filter move [find comment=to_192.168.1.0/24] 0

/ip firewall nat add src-address=192.168.2.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat comment=to_192.168.1.0/24
/ip firewall nat move [find comment=to_192.168.1.0/24] 0

/ip ipsec peer add address=1.1.1.1/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret="Phase"

/ip ipsec proposal add name=1.1.1.1 enc-algorithms=3des auth-algorithms=sha1  lifetime=8h

/ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes proposal=1.1.1.1

 

Конфиг мастерил в https://tugibaev.ru/mikrotik_ipsec/

[jffulcrum]

Ничего не понятно в исходных условиях. Зачем NAT - непонятно.  Зачем туннель в IPSec политике, если все устройства в L2 - непонятно. 

[McSea]

1 hour ago, finse said:

Вопрос в чем может быть проблема? Дефолт рулс айписека и фаервола вкладываю. Соответственно Микр 1 192.168.1.0/24 1.1.1.1 Микр 2 192.168.2.0/24 2.2.2.2

Какая именно проблема? 

У вас туннель между 2-мя микротиками, за первым локальная подсеть 1.0, за вторым 2.0.

Так из подсети 1.0 нет доступа в 2.0, или из 2.0 нет доступа в 1.0 ? Или вообще нет доступа между локальными подсетями ?

И какое отношение к этому туннелю имеют остальные 3 микротика ?

[finse]

44 минуты назад, McSea сказал:

Какая именно проблема? 

У вас туннель между 2-мя микротиками, за первым локальная подсеть 1.0, за вторым 2.0.

Так из подсети 1.0 нет доступа в 2.0, или из 2.0 нет доступа в 1.0 ? Или вообще нет доступа между локальными подсетями ?

И какое отношение к этому туннелю имеют остальные 3 микротика ?

Так

1-2-3-4 микротика в одной сети провайдера по L2

5 микротик в другом провайдере

 

Условно из каждого микротика провайдера №1 (которые в L2) виден 5 микротик из другого провайдера №2 (можно зайти по RDP, ICMP ходит)

Из 5 микротика провайдера №2 не видно ни одного микротика из провайдера №1 (нельзя зайти по RDP и ICMP не ходит)

 

Прикладываю корявую схему

 

 

Логи смотреть бессмысленно, все ходит, ошибок нет. 

 

Получается из 1.0 видна вся сеть 2.0, а вот из 2.0 вообще нет доступа в 1.0. 

Остальные 3 микротика как и 1.0 видят 2.0, но 2.0 их в упор не видит.

Изменено 11 февраля, 2019 пользователем finse

[McSea]

Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ?

И для примера взяли один из них ?

Тогда давайте полные конфиги уже с туннелями 5-го и другого.

[finse]

22 минуты назад, McSea сказал:

Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ?

И для примера взяли один из них ?

Тогда давайте полные конфиги уже с туннелями 5-го и другого.

Хорошо, завтра с утра. Все на работе.

[finse]

13 часов назад, McSea сказал:

Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ?

И для примера взяли один из них ?

Тогда давайте полные конфиги уже с туннелями 5-го и другого.

Конфиг одного из L2 Микротика

 

000.000.000.134 - локальная сеть 192.168.3.0

100.100.100.114 ##### (L2 Микротик) 192.168.8.0

200.200.200.130 ##### (L2 Микротик) 192.168.2.0

300.300.300.154 ###### (5 Микротик второго провайдера) 192.168.10.0

 

Жду пока привезут второй. Он настроен по аналогии с этим, разве что инверсия ip адресов.

 

 

 

#
# model = RB4011iGS+
# serial number = |Serial|
/interface bridge
add name=br1-lan
/interface ethernet
set [ find default-name=ether1 ] mac-address=MAC:13
set [ find default-name=ether2 ] mac-address=MAC:14 name=\
    "ether2-for console"
set [ find default-name=ether3 ] name=ether3-wan
set [ find default-name=ether4 ] name=ether4-lan
set [ find default-name=ether5 ] mac-address=MAC:17 name=\
    ether5-lan
set [ find default-name=ether6 ] mac-address=MAC:18 name=\
    ether6-lan
set [ find default-name=ether7 ] mac-address=MAC:19 name=\
    ether7-lan
set [ find default-name=ether8 ] mac-address=MAC:1A name=\
    ether8-lan
set [ find default-name=ether9 ] mac-address=MAC:1B name=\
    ether9-lan
set [ find default-name=ether10 ] mac-address=MAC:1C name=\
    ether10-lan
set [ find default-name=sfp-sfpplus1 ] mac-address=MAC:1D
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=3des hash-algorithm=\
    md5
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=3des
add enc-algorithms=3des lifetime=8h name=100.100.100.114 ##### (L2 Микротик)
add enc-algorithms=3des lifetime=8h name=200.200.200.130 ##### (L2 Микротик)
add enc-algorithms=3des lifetime=8h name=300.300.300.154 ###### (5 Микротик второго провайдера)
/interface bridge port
add bridge=br1-lan interface=ether4-lan
add bridge=br1-lan interface=ether5-lan
add bridge=br1-lan interface=ether6-lan
add bridge=br1-lan interface=ether7-lan
add bridge=br1-lan interface=ether8-lan
add bridge=br1-lan interface=ether9-lan
add bridge=br1-lan interface=ether10-lan
/interface list member
add interface=br1-lan list=LAN
add interface=ether1 list=WAN
/ip address
add address=000.000.000.134/28 interface=ether3-wan network=000.000.000.128
add address=192.168.3.1/24 interface=br1-lan network=192.168.3.0
add address=000.000.000.129 interface=ether3-wan network=000.000.000.129
/ip dns
set servers=DNS провайдера
/ip dns static
add address=192.168.3.1 name=MYLAN
/ip firewall filter
add chain=forward connection-nat-state=dstnat
add action=accept chain=input comment=to_192.168.2.0/24 src-address=\
    200.200.200.130 ##### (L2 Микротик)
add action=accept chain=output comment=to_192.168.2.0/24 dst-address=\
    200.200.200.130 ##### (L2 Микротик)
add action=accept chain=forward comment=to_192.168.2.0/24 src-address=\
    192.168.2.0/24
add action=accept chain=forward comment=to_192.168.2.0/24 dst-address=\
    192.168.2.0/24
add action=accept chain=input comment=to_192.168.10.0/24 src-address=\
    300.300.300.154 ###### (5 Микротик второго провайдера)
add action=accept chain=output comment=to_192.168.10.0/24 dst-address=\
    300.300.300.154 ###### (5 Микротик второго провайдера)
add action=accept chain=forward comment=to_192.168.10.0/24 src-address=\
    192.168.10.0/24
add action=accept chain=forward comment=to_192.168.10.0/24 dst-address=\
    192.168.10.0/24
add action=accept chain=input comment=to_192.168.8.0/24 src-address=\
    100.100.100.114 ##### (L2 Микротик)
add action=accept chain=output comment=to_192.168.8.0/24 dst-address=\
    100.100.100.114 ##### (L2 Микротик)
add action=accept chain=forward comment=to_192.168.8.0/24 src-address=\
    192.168.8.0/24
add action=accept chain=forward comment=to_192.168.8.0/24 dst-address=\
    192.168.8.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether3-wan
add action=accept chain=srcnat comment=to_192.168.2.0/24 dst-address=\
    192.168.2.0/24 src-address=192.168.3.0/24
add action=accept chain=srcnat comment=to_192.168.8.0/24 dst-address=\
    192.168.8.0/24 src-address=192.168.3.0/24
add action=accept chain=srcnat comment=to_192.168.10.0/24 dst-address=\
    192.168.10.0/24 src-address=192.168.3.0/24
/ip ipsec peer
add address=200.200.200.130/32 secret=secret  ##### (L2 Микротик)
add address=100.100.100.114/32 secret=secret  ##### (L2 Микротик)
add address=300.300.300.154/32 secret=secret  ###### (5 Микротик второго провайдера)
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.8.0/24 proposal=100.100.100.114 sa-dst-address=\       ##### (L2 Микротик)
    100.100.100.114 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \
    tunnel=yes
add dst-address=192.168.2.0/24 proposal=200.200.200.130 sa-dst-address=\         ##### (L2 Микротик)
    200.200.200.130 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \
    tunnel=yes
add dst-address=192.168.10.0/24 proposal=300.300.300.154 sa-dst-address=\
    300.300.300.154 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \     ###### (5 Микротик второго провайдера)
    tunnel=yes
/ip route
add check-gateway=ping distance=1 gateway=000.000.000.129
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=5556
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether3-wan type=external
add interface=br1-lan type=internal
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MYLAN
/system routerboard settings
set silent-boot=no
 

[McSea]

7 hours ago, finse said:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether3-wan
add action=accept chain=srcnat comment=to_192.168.2.0/24 dst-address=\
    192.168.2.0/24 src-address=192.168.3.0/24
add action=accept chain=srcnat comment=to_192.168.8.0/24 dst-address=\
    192.168.8.0/24 src-address=192.168.3.0/24
add action=accept chain=srcnat comment=to_192.168.10.0/24 dst-address=\
    192.168.10.0/24 src-address=192.168.3.0/24

А почему у вас правила, исключающие ipsec трафик из маскарадинга, идут ниже самого правила маскарадинга ? 

В скрипте же "move 0" есть специально, чтобы в начало их поставить.

 

Можно добавить к правилу маскарадинга "ipsec-policy=out,none" и эти доп.правила будут не нужны вообще.

 

Использования слабых алгоритмов шифрование/аутентификации чем обусловлено ? 4011 имеет аппаратное ускорение шифрования, на другой стороне что-то слабое стоит ?

Изменено 12 февраля, 2019 пользователем McSea

[finse]

2 часа назад, McSea сказал:

А почему у вас правила, исключающие ipsec трафик из маскарадинга, идут ниже самого правила маскарадинга ? 

В скрипте же "move 0" есть специально, чтобы в начало их поставить.

 

Можно добавить к правилу маскарадинга "ipsec-policy=out,none" и эти доп.правила будут не нужны вообще.

 

Использования слабых алгоритмов шифрование/аутентификации чем обусловлено ? 4011 имеет аппаратное ускорение шифрования, на другой стороне что-то слабое стоит ?



С алгоритмами согласен. Опять же их можно сменить в любой момент. Пока что это тестовый стенд. Буду рад, если вы сразу "направите на путь истинный", т.к. слабого оборудования не будет стоять на сторонах.

 

Спасибо за наводку маскарадинга, правильная мысль!

 

Протестировать не могу в ближайшее время, как будут тесты - сообщу. Есть еще идеи?

 

Странная вещь, одна сторона видит другую, но не обратно.

[WY6EPT]

а без микротиков точки вообще друг друга видят?