IPSec через NAT

[RN3DCX]

Схема SITE to СLIENT.

Локальная сеть за микротиком - 10.0.21.0/24, pool для VPN клиентов - 10.1.22.0/24

После поднятия VPN подключения ping-шминг только до локальных адресов микротика, все локальные ресурсы что за ним не доступны для VPN клиента.

Вангую, что проблема в NAT, т.к. растут ошибки в IPSec Policies Statistics:

 

 

 

Firewall Rules:

Скрытый текст

/ip firewall filter
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp;
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp;
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp;
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp;
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp;
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp;
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp;
add action=drop chain=icmp comment="deny all other types ICMP";

add action=accept chain=input comment="IPSec connection fo AH" protocol=ipsec-ah;
add action=accept chain=input comment="IPSec connection fo ESP" protocol=ipsec-esp;
add action=accept chain=input comment="IPsec connections_IN" ipsec-policy= in,ipsec;
add action=drop chain=input comment="Drop all incoming input invalid connections" connection-state=invalid

add action=drop chain=input comment="Drop all incoming packages to interface WAN" dst-port=!3122,3223,8031,8032,13389,33898,33892 in-interface-list=WAN protocol=tcp src-address-list=BOGON;
add action=drop chain=input comment= "Drop all incoming packages to interface WAN_!_except_!_IPSec/IKE" dst-port=!500,4500,4510,4511 in-interface-list=WAN protocol=udp; src-address-list=BOGON;
add action=drop chain=input comment="Drop input multicast connections"  disabled=yes dst-address-type=multicast;
add action=accept chain=input comment="Accept all incoming input established connections" connection-state=established,related;
add action=accept chain=forward comment="IPsec connections_FORWARD_IN" ipsec-policy=in,ipsec;
add action=accept chain=forward comment="IPsec connections_FORWARD_OUT" ipsec-policy=out,ipsec;
add action=drop chain=forward comment="Drop all incoming forward (transit traffic) invalid connections" connection-state=invalid;

add action=accept chain=forward comment="Accept all incoming forward (transit traffic) established connections" connection-state=established,related;

 

 

 

FIrewall NAT:

Скрытый текст

/ip firewall nat
add action=accept chain=srcnat ipsec-policy=out,ipsec out-interface-list=WAN;
add action=masquerade chain=srcnat comment=out-interface-list=WAN src-address-list=Network_Access_to_Internet dst-address-list=!BOGON;

 

 

 

Address List:

Скрытый текст

/ip firewall address-list

add address=10.0.21.0/24 list=Network_Access_to_Internet

add address=10.1.22.0/24 list=Network_Access_to_Internet

 

add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON

 

 

 

[jffulcrum]

1 час назад, RN3DCX сказал:

FIrewall NAT:

Вот тут в правиле нужно исключение для адресов как туннеля, так и сети за ним( проще всего через dst address list с признаком !). И для гарантии ещё выходной интерфейс указать куда в Интернет течёт.

[RN3DCX]

В 07.05.2024 в 14:01, jffulcrum сказал:

исключение для адресов как туннеля

туннель не использую, юзаю транспорт.

 

 

Авторизация по сертификату, примером служила вот эта статья: https://bozza.ru/art-351.html

 

 

 

В 07.05.2024 в 14:01, jffulcrum сказал:

проще всего через dst address list с признаком !

Оставил одно правило в NAT:
/ip firewall nat add action=src-nat chain=srcnat dst-address=!10.1.22.0/24 ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_Access_to_Internet to-addresses=133.232.XXX.254

Удалил из address-list подсеть для VPN клиентов - 10.1.22.0/24:
/ip firewall address-list add address=10.0.21.0/24 list=Network_Access_to_Internet

 

Но без успешно.... Требуется помощь телепатов / ясновидящих.

100500 тем на эту проблему, но решения пока не нашел: https://www.google.com/search?q=mikrotik+ipsec+not+access+to+network+site:forum.mikrotik.com&sca_esv=7978873cf7ff4aec&sca_upv=1&sa=X&ved=2ahUKEwjx_rKN8fuFAxWWFRAIHcK8AC8QrQIoBHoECBEQBQ#ip=1

[RN3DCX]

Дело было не в бабине....  Вывод с микротика:

> tool/traceroute 10.1.22.199
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS         LOSS  SENT  LAST     AVG  BEST  WORST  STD-DEV
1  10.20.1.30      0%       1  0.5ms    0.5  0.5   0.5          0
2  87.245.170.101  0%       1  6ms      6    6     6            0
3  213.171.50.133  0%       1  4.7ms    4.7  4.7   4.7          0

На все серые/локальные адреса отвечает шлюз оператора. Приплыли.

 

 

[jffulcrum]

7 часов назад, RN3DCX сказал:

туннель не использую, юзаю транспорт

Мда, я уж думал, такой вариант IPSec практически вымер, а смотри-ка, есть еще желающие.

 

Сейчас только за большим экраном разглядел ваши скрины. Байпас сделан, конечно, столь широко, что туда что угодно попадает. Посмотрите как надо в Manual:IP/IPsec - MikroTik Wiki

 

2 минуты назад, RN3DCX сказал:

На все серые/локальные адреса отвечает шлюз оператора. Приплыли.

Покажите таблицу маршрутизации.

[RN3DCX]

В 07.05.2024 в 22:24, jffulcrum сказал:

Покажите таблицу маршрутизации.

[@MikroTik] /ip/route> print 
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, s - STATIC
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#     DST-ADDRESS        GATEWAY         DISTANCE
0  As 0.0.0.0/0          133.232.XXX.113        1
  DAc 10.0.21.0/24	 Bridge_in_LAN          0
  DAc 133.232.XXX.112/30 Bridge_in_WAN          0

 

 

В 07.05.2024 в 22:24, jffulcrum сказал:

Мда, я уж думал, такой вариант IPSec практически вымер, а смотри-ка, есть еще желающие.

Я мож отстал от трэнда, но логин и пароль - сложно помнить, а вот с сертификатом как-то по приятнее.

 

В 07.05.2024 в 22:24, jffulcrum сказал:

Байпас сделан, конечно, столь широко, что туда что угодно попадает. Посмотрите как надо в Manual:IP/IPsec - MikroTik Wiki

Благодарю за ссылку!

[jffulcrum]

40 минут назад, RN3DCX сказал:

#     DST-ADDRESS        GATEWAY         DISTANCE
0  As 0.0.0.0/0          133.232.XXX.113        1
  DAc 10.0.21.0/24	 Bridge_in_LAN          0
  DAc 133.232.XXX.112/30 Bridge_in_WAN          0

Вот в том числе поэтому в ROS7 наконец-то появился Loopback. В ROS6 можно создать пустой мост без интерфейсов для этих же целей.

[RN3DCX]

5 минут назад, jffulcrum сказал:

Вот в том числе поэтому в ROS7 наконец-то появился Loopback. В ROS6 можно создать пустой мост без интерфейсов для этих же целей.

А какова цель в данном случае?

[jffulcrum]

В 07.05.2024 в 22:30, RN3DCX сказал:

#     DST-ADDRESS        GATEWAY         DISTANCE
0  As 0.0.0.0/0          133.232.XXX.113        1
  DAc 10.0.21.0/24	 Bridge_in_LAN          0
  DAc 133.232.XXX.112/30 Bridge_in_WAN          0

Это при успешном подключении? Или подключение до конца не доходит?

[RN3DCX]

Это вся известная роутеру таблица маршрутизации.

Интернет и локальная сеть закрытая NAT'ом - вот собственно и вся схема.