finse Опубликовано 11 февраля, 2019 · Жалоба Добрый день, коллеги. Столкнулся со следующей проблемой. Дано: 5 микротиков и 2 провайдера. Ipsec: Auth. Alg.: sha1 / Encr. Alg: 3des / PFS Group: modp 1024 1 Провайдер все 4 микротика имеют практически одинаковые настройки фаервола и идентичные настройки IPsec. Видят друг дружку прекрасно, т.к. находятся, при этом, в L2 сети провайдера. 2 Провайдер Его видят микротики из 1-ой сети. Подключаются по рдп и всячески ходят по нему. Микротик из второго провайдера не видит совсем первого провайдера, ни icmp, ни rdp, ничего. Вопрос в чем может быть проблема? Дефолт рулс айписека и фаервола вкладываю. Соответственно Микр 1 192.168.1.0/24 1.1.1.1 Микр 2 192.168.2.0/24 2.2.2.2 Микр 1 /ip firewall filter remove [find comment=to_192.168.2.0/24] /ip firewall filter add src-address=2.2.2.2 action=accept chain=input comment=to_192.168.2.0/24 /ip firewall filter add dst-address=2.2.2.2 action=accept chain=output comment=to_192.168.2.0/24 /ip firewall filter add src-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24 /ip firewall filter add dst-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24 /ip firewall filter move [find comment=to_192.168.2.0/24] 0 /ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=accept chain=srcnat comment=to_192.168.2.0/24 /ip firewall nat move [find comment=to_192.168.2.0/24] 0 /ip ipsec peer add address=2.2.2.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret="Phase" /ip ipsec proposal add name=2.2.2.2 enc-algorithms=3des auth-algorithms=sha1 lifetime=8h /ip ipsec policy add dst-address=192.168.2.0/24 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes proposal=2.2.2.2 Микр 2 /ip firewall filter remove [find comment=to_192.168.1.0/24] /ip firewall filter add src-address=1.1.1.1 action=accept chain=input comment=to_192.168.1.0/24 /ip firewall filter add dst-address=1.1.1.1 action=accept chain=output comment=to_192.168.1.0/24 /ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter move [find comment=to_192.168.1.0/24] 0 /ip firewall nat add src-address=192.168.2.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat comment=to_192.168.1.0/24 /ip firewall nat move [find comment=to_192.168.1.0/24] 0 /ip ipsec peer add address=1.1.1.1/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret="Phase" /ip ipsec proposal add name=1.1.1.1 enc-algorithms=3des auth-algorithms=sha1 lifetime=8h /ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes proposal=1.1.1.1 Конфиг мастерил в https://tugibaev.ru/mikrotik_ipsec/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 11 февраля, 2019 · Жалоба Ничего не понятно в исходных условиях. Зачем NAT - непонятно. Зачем туннель в IPSec политике, если все устройства в L2 - непонятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 11 февраля, 2019 · Жалоба 1 hour ago, finse said: Вопрос в чем может быть проблема? Дефолт рулс айписека и фаервола вкладываю. Соответственно Микр 1 192.168.1.0/24 1.1.1.1 Микр 2 192.168.2.0/24 2.2.2.2 Какая именно проблема? У вас туннель между 2-мя микротиками, за первым локальная подсеть 1.0, за вторым 2.0. Так из подсети 1.0 нет доступа в 2.0, или из 2.0 нет доступа в 1.0 ? Или вообще нет доступа между локальными подсетями ? И какое отношение к этому туннелю имеют остальные 3 микротика ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finse Опубликовано 11 февраля, 2019 (изменено) · Жалоба 44 минуты назад, McSea сказал: Какая именно проблема? У вас туннель между 2-мя микротиками, за первым локальная подсеть 1.0, за вторым 2.0. Так из подсети 1.0 нет доступа в 2.0, или из 2.0 нет доступа в 1.0 ? Или вообще нет доступа между локальными подсетями ? И какое отношение к этому туннелю имеют остальные 3 микротика ? Так 1-2-3-4 микротика в одной сети провайдера по L2 5 микротик в другом провайдере Условно из каждого микротика провайдера №1 (которые в L2) виден 5 микротик из другого провайдера №2 (можно зайти по RDP, ICMP ходит) Из 5 микротика провайдера №2 не видно ни одного микротика из провайдера №1 (нельзя зайти по RDP и ICMP не ходит) Прикладываю корявую схему Логи смотреть бессмысленно, все ходит, ошибок нет. Получается из 1.0 видна вся сеть 2.0, а вот из 2.0 вообще нет доступа в 1.0. Остальные 3 микротика как и 1.0 видят 2.0, но 2.0 их в упор не видит. Изменено 11 февраля, 2019 пользователем finse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 11 февраля, 2019 · Жалоба Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ? И для примера взяли один из них ? Тогда давайте полные конфиги уже с туннелями 5-го и другого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finse Опубликовано 11 февраля, 2019 · Жалоба 22 минуты назад, McSea сказал: Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ? И для примера взяли один из них ? Тогда давайте полные конфиги уже с туннелями 5-го и другого. Хорошо, завтра с утра. Все на работе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finse Опубликовано 12 февраля, 2019 · Жалоба 13 часов назад, McSea сказал: Т.е. получается у вас четыре однотипно настроенных туннеля между Mikrotik 5 и Mikrotik 1..4 ? И для примера взяли один из них ? Тогда давайте полные конфиги уже с туннелями 5-го и другого. Конфиг одного из L2 Микротика 000.000.000.134 - локальная сеть 192.168.3.0 100.100.100.114 ##### (L2 Микротик) 192.168.8.0 200.200.200.130 ##### (L2 Микротик) 192.168.2.0 300.300.300.154 ###### (5 Микротик второго провайдера) 192.168.10.0 Жду пока привезут второй. Он настроен по аналогии с этим, разве что инверсия ip адресов. # # model = RB4011iGS+ # serial number = |Serial| /interface bridge add name=br1-lan /interface ethernet set [ find default-name=ether1 ] mac-address=MAC:13 set [ find default-name=ether2 ] mac-address=MAC:14 name=\ "ether2-for console" set [ find default-name=ether3 ] name=ether3-wan set [ find default-name=ether4 ] name=ether4-lan set [ find default-name=ether5 ] mac-address=MAC:17 name=\ ether5-lan set [ find default-name=ether6 ] mac-address=MAC:18 name=\ ether6-lan set [ find default-name=ether7 ] mac-address=MAC:19 name=\ ether7-lan set [ find default-name=ether8 ] mac-address=MAC:1A name=\ ether8-lan set [ find default-name=ether9 ] mac-address=MAC:1B name=\ ether9-lan set [ find default-name=ether10 ] mac-address=MAC:1C name=\ ether10-lan set [ find default-name=sfp-sfpplus1 ] mac-address=MAC:1D /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec peer profile set [ find default=yes ] dh-group=modp1024 enc-algorithm=3des hash-algorithm=\ md5 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=3des add enc-algorithms=3des lifetime=8h name=100.100.100.114 ##### (L2 Микротик) add enc-algorithms=3des lifetime=8h name=200.200.200.130 ##### (L2 Микротик) add enc-algorithms=3des lifetime=8h name=300.300.300.154 ###### (5 Микротик второго провайдера) /interface bridge port add bridge=br1-lan interface=ether4-lan add bridge=br1-lan interface=ether5-lan add bridge=br1-lan interface=ether6-lan add bridge=br1-lan interface=ether7-lan add bridge=br1-lan interface=ether8-lan add bridge=br1-lan interface=ether9-lan add bridge=br1-lan interface=ether10-lan /interface list member add interface=br1-lan list=LAN add interface=ether1 list=WAN /ip address add address=000.000.000.134/28 interface=ether3-wan network=000.000.000.128 add address=192.168.3.1/24 interface=br1-lan network=192.168.3.0 add address=000.000.000.129 interface=ether3-wan network=000.000.000.129 /ip dns set servers=DNS провайдера /ip dns static add address=192.168.3.1 name=MYLAN /ip firewall filter add chain=forward connection-nat-state=dstnat add action=accept chain=input comment=to_192.168.2.0/24 src-address=\ 200.200.200.130 ##### (L2 Микротик) add action=accept chain=output comment=to_192.168.2.0/24 dst-address=\ 200.200.200.130 ##### (L2 Микротик) add action=accept chain=forward comment=to_192.168.2.0/24 src-address=\ 192.168.2.0/24 add action=accept chain=forward comment=to_192.168.2.0/24 dst-address=\ 192.168.2.0/24 add action=accept chain=input comment=to_192.168.10.0/24 src-address=\ 300.300.300.154 ###### (5 Микротик второго провайдера) add action=accept chain=output comment=to_192.168.10.0/24 dst-address=\ 300.300.300.154 ###### (5 Микротик второго провайдера) add action=accept chain=forward comment=to_192.168.10.0/24 src-address=\ 192.168.10.0/24 add action=accept chain=forward comment=to_192.168.10.0/24 dst-address=\ 192.168.10.0/24 add action=accept chain=input comment=to_192.168.8.0/24 src-address=\ 100.100.100.114 ##### (L2 Микротик) add action=accept chain=output comment=to_192.168.8.0/24 dst-address=\ 100.100.100.114 ##### (L2 Микротик) add action=accept chain=forward comment=to_192.168.8.0/24 src-address=\ 192.168.8.0/24 add action=accept chain=forward comment=to_192.168.8.0/24 dst-address=\ 192.168.8.0/24 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether3-wan add action=accept chain=srcnat comment=to_192.168.2.0/24 dst-address=\ 192.168.2.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.8.0/24 dst-address=\ 192.168.8.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.10.0/24 dst-address=\ 192.168.10.0/24 src-address=192.168.3.0/24 /ip ipsec peer add address=200.200.200.130/32 secret=secret ##### (L2 Микротик) add address=100.100.100.114/32 secret=secret ##### (L2 Микротик) add address=300.300.300.154/32 secret=secret ###### (5 Микротик второго провайдера) /ip ipsec policy set 0 disabled=yes add dst-address=192.168.8.0/24 proposal=100.100.100.114 sa-dst-address=\ ##### (L2 Микротик) 100.100.100.114 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ tunnel=yes add dst-address=192.168.2.0/24 proposal=200.200.200.130 sa-dst-address=\ ##### (L2 Микротик) 200.200.200.130 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ tunnel=yes add dst-address=192.168.10.0/24 proposal=300.300.300.154 sa-dst-address=\ 300.300.300.154 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ ###### (5 Микротик второго провайдера) tunnel=yes /ip route add check-gateway=ping distance=1 gateway=000.000.000.129 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh port=5556 set api disabled=yes set api-ssl disabled=yes /ip upnp set enabled=yes /ip upnp interfaces add interface=ether3-wan type=external add interface=br1-lan type=internal /system clock set time-zone-name=Europe/Moscow /system identity set name=MYLAN /system routerboard settings set silent-boot=no Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 12 февраля, 2019 (изменено) · Жалоба 7 hours ago, finse said: /ip firewall nat add action=masquerade chain=srcnat out-interface=ether3-wan add action=accept chain=srcnat comment=to_192.168.2.0/24 dst-address=\ 192.168.2.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.8.0/24 dst-address=\ 192.168.8.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.10.0/24 dst-address=\ 192.168.10.0/24 src-address=192.168.3.0/24 А почему у вас правила, исключающие ipsec трафик из маскарадинга, идут ниже самого правила маскарадинга ? В скрипте же "move 0" есть специально, чтобы в начало их поставить. Можно добавить к правилу маскарадинга "ipsec-policy=out,none" и эти доп.правила будут не нужны вообще. Использования слабых алгоритмов шифрование/аутентификации чем обусловлено ? 4011 имеет аппаратное ускорение шифрования, на другой стороне что-то слабое стоит ? Изменено 12 февраля, 2019 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finse Опубликовано 12 февраля, 2019 · Жалоба 2 часа назад, McSea сказал: А почему у вас правила, исключающие ipsec трафик из маскарадинга, идут ниже самого правила маскарадинга ? В скрипте же "move 0" есть специально, чтобы в начало их поставить. Можно добавить к правилу маскарадинга "ipsec-policy=out,none" и эти доп.правила будут не нужны вообще. Использования слабых алгоритмов шифрование/аутентификации чем обусловлено ? 4011 имеет аппаратное ускорение шифрования, на другой стороне что-то слабое стоит ? С алгоритмами согласен. Опять же их можно сменить в любой момент. Пока что это тестовый стенд. Буду рад, если вы сразу "направите на путь истинный", т.к. слабого оборудования не будет стоять на сторонах. Спасибо за наводку маскарадинга, правильная мысль! Протестировать не могу в ближайшее время, как будут тесты - сообщу. Есть еще идеи? Странная вещь, одна сторона видит другую, но не обратно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WY6EPT Опубликовано 24 февраля, 2019 · Жалоба а без микротиков точки вообще друг друга видят? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...