Jump to content
Калькуляторы

Не удается настроить ipsec c vk cloud

Reply to this topic

Uzver©   

Uzver©
Posted

Есть такое облако, mail.ru, вот инструкция на той стороне, ну там вроде всё просто некст-некст.
https://mcs.mail.ru/docs/ru/networks/vnet/vpn/create-vpn
На моей стороне CCR1009-8G-1S-1S+

Вроде как я сумел сделать Ph1, поскольку вижу поднявшийся активный пир. Кстати, как выводить это список через консоль.

Но вот дальше это не продвинулся, Ph2 не поднимается. Как убедиться что фаза один у меня правильная, и как смотреть её состояние в терминале. Что я мог сделать не так в фазе 2, как диагностировать, особенно если логи с той стороны вот просто так недоступны. Их можно запрашивать но не оперативно.

# feb/01/2022 09:50:58 by RouterOS 6.48.6
# software id = SW0T-05C6
#
# model = CCR1009-8G-1S-1S+
/ip ipsec profile
set [ find default=yes ] dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h
add dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h name=2191
/ip ipsec peer
add address=<IP CLOUD ROUTER> local-address=<IP LOCAL ROUTER> name=<PEER ID> profile=2191
/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=1h name=2191 pfs-group=modp1536
/ip firewall nat
add action=accept chain=srcnat comment="ipsec mailru" dst-address=10.0.0.0/24 src-address=192.168.0.0/16
/ip firewall raw
add action=notrack chain=prerouting comment=mailrubld dst-address=192.168.0.0/16 src-address=10.0.0.0/24
add action=notrack chain=prerouting comment=mailrubld dst-address=10.0.0.0/24 src-address=192.168.0.0/16
/ip ipsec identity
add peer=<PEER ID>
/ip ipsec policy
set 0 proposal=2191
add dst-address=10.0.0.0/24 ipsec-protocols=ah peer=<PEER ID> proposal=2191 src-address=192.18.0.0/16 tunnel=yes

Share this post

Link to post
Share on other sites

McSea   

McSea
Posted
On 2/1/2022 at 10:08 AM, Uzver© said:

/ip ipsec policy
set 0 proposal=2191
add dst-address=10.0.0.0/24 ipsec-protocols=ah peer=<PEER ID> proposal=2191 src-address=192.18.0.0/16 tunnel=yes

Почему AH? Это только проверка подлинности пакета, но не шифрование. Посмотрите пример внизу по вашей ссылке на mcs.mail.ru, там прописано ESP.

 

Share this post

Link to post
Share on other sites

Uzver©   

Uzver©
Posted

Простите, да, уже исправил, и сеть тоже исправил но это не оно однако, ещё что то не то.

 

Я что в ph2 ipsec немножко не догоняю. src и dst это всё же внутренние сети уже не внешние интерфейсы, верно?

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted
В 01.02.2022 в 11:08, Uzver© сказал:

/ip firewall nat
add action=accept chain=srcnat comment="ipsec mailru" dst-address=10.0.0.0/24 src-address=192.168.0.0/16
/ip firewall raw
add action=notrack chain=prerouting comment=mailrubld dst-address=192.168.0.0/16 src-address=10.0.0.0/24
add action=notrack chain=prerouting comment=mailrubld dst-address=10.0.0.0/24 src-address=192.168.0.0/16

Эти правила друг-другу противоречат. Вы выкидаываете соединения из conntrack, но NAT без него не работает - пакеты туда не попадут.  

 

 

По фазам - у Микротика есть лог, там какие ошибки (красным)?

Share this post

Link to post
Share on other sites

Uzver©   

Uzver©
Posted

Завтра возьму отдельный роутер буду играться на нем на этом как то немного стремно он основной на нем много сервисов часть настроены были не мной надо разобраться да зачем там всё это.

Share this post

Link to post
Share on other sites

kapydan   

kapydan
Posted

какая версия софта на микротике стоит - 6.48.6?

надо обратить внимание на нат и фаервольные правила. в целях проверки работы ipsec, можно попробовать пингануть адрес одной сети из другой.

 

В 01.02.2022 в 23:12, Uzver© сказал:

Завтра возьму отдельный роутер буду играться на нем на этом как то немного стремно он основной на нем много сервисов часть настроены были не мной надо разобраться да зачем там всё это.

решение дельное

Share this post

Link to post
Share on other sites

Uzver©   

Uzver©
Posted

 

Итого, может кому то пригодится. фаервол пока не причесывал.


/ip ipsec profile
add dh-group=modp1536 enc-algorithm=aes-256 name=2191 nat-traversal=no \
    proposal-check=strict

 

/ip ipsec peer
add address=<IP/MASK remote router> exchange-mode=ike2 local-address=<IP local router> \
    name=<PEER ID> profile=2191

 

/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-256-gcm name=2191 pfs-group=modp1536

 

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=\
    127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

 

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN

 

/ip ipsec identity
add my-id=address:<PEER ID> peer=<PEER ID>

 

/ip ipsec policy
add dst-address=10.0.0.0/24 peer=<PEER ID> proposal=2191 src-address=\
    192.168.0.0/23 tunnel=yes

 

/system clock
set time-zone-name=Europe/Moscow

 

/system ntp client
set enabled=yes

 

/system ntp client servers
add address=0.ru.pool.ntp.org
add address=1.ru.pool.ntp.org

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik Wireless