Помогите настроить туннель между Микротик RB951 и Cisco ASA

[Nick Archer]

Добрый день.

Помогите настроить туннель. Проведите за ручку )

Описание: Cisco ASA в головном офисе, белый IP, настроены туннели через Ike2 (работает с белыми IP с обоих сторон, с этим проблем нет)

Микротик подключен через lte модем, IP адрес серый (мобильная симка).

Попытки настроить через IKE1 к успеху не приводят ошибка NO-PROPOSAL-CHOSEN . Хотя вроде с обоих сторон одинаково... что там может быть не так??? Но может и глаз замылился.

 

Если нужен конфиг Циски скажите как )

 

Помогите плиз. 

# model = 951G-2HnD
# serial number = 642E05230159
/interface lte
set [ find ] name=lte1
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] mode=ap-bridge name=wlan2 ssid=MikroTik \
    wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] mac-address=18:FD:74:31:AB:8E
set [ find default-name=ether2 ] mac-address=18:FD:74:31:AB:8F
set [ find default-name=ether3 ] mac-address=18:FD:74:31:AB:90
set [ find default-name=ether4 ] mac-address=18:FD:74:31:AB:91
set [ find default-name=ether5 ] mac-address=18:FD:74:31:AB:92
/interface ipip
add allow-fast-path=no disabled=yes ipsec-secret=PWD local-address=\
    192.168.158.200 name=ipip-tunnel1 remote-address=178.x.x.x
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=IvolgaWiFi \
    wpa2-pre-shared-key=IvolgaWiFi
/ip dhcp-server option
add code=67 name=067 value="'wtware/6.2.28/wtware.pxe'"
/ip ipsec peer
add address=178.x.x.x/32 disabled=yes name=head
/ip ipsec profile
set [ find default=yes ] hash-algorithm=md5
add dh-group=ecp521,modp2048 dpd-interval=10s enc-algorithm=aes-256,aes-128 \
    hash-algorithm=sha512 name=asa-p1
add dh-group=ecp384 enc-algorithm=aes-256 name=ipsec-ivg
/ip ipsec peer
# Only one DH group supported in aggresive mode!
add address=178.x.x.x/32 exchange-mode=aggressive name=ASA-Podolsk \
    profile=asa-p1
add address=109.x.x.x/32 disabled=yes exchange-mode=ike2 name=sec-ivg \
    profile=ipsec-ivg
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=\
    aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=\
    aes-256-cbc,aes-256-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm lifetime=8h \
    name=asa-p2 pfs-group=none
add enc-algorithms=aes-256-cbc name=ipsec-ivg pfs-group=ecp384
add enc-algorithms=aes-256-cbc name=corp pfs-group=none
/ip pool
add name=dhcp ranges=10.180.10.30-10.180.10.234
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp2
/ppp profile
add change-tcp-mss=yes name=l2tp use-compression=yes use-encryption=yes \
    use-mpls=no use-upnp=no
/interface l2tp-client
add allow-fast-path=yes connect-to=109.x.x.x ipsec-secret=password \
    name=Belru password=123456ii# profile=l2tp use-ipsec=yes user=Ivolga
add connect-to=178.x.x.x ipsec-secret=PWD name=l2tp-out1 \
    password=Cruiser51 profile=l2tp use-ipsec=yes user=archer
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=*6
add bridge=bridge1 interface=dynamic
/interface detect-internet
set detect-interface-list=all internet-interface-list=all wan-interface-list=\
    all
/interface list member
add interface=bridge1 list=LAN
add interface=lte1 list=WAN
/ip address
add address=10.180.10.1/24 interface=bridge1 network=10.180.10.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.180.10.0/24 boot-file-name="wtware\\6.2.28\\bootx64.efi" \
    dhcp-option=067 dns-server=10.180.10.1,10.150.10.11,8.8.8.8 domain=\
    conall.loc gateway=10.180.10.1 netmask=24 next-server=10.150.10.52
/ip dns
/ip firewall address-list
add address=178.x.x.x list=allow
add address=89.x.x.x list=ASA-PODOLSK-IPSEC-PEER
/ip firewall filter
add action=accept chain=forward in-interface-list=WAN ipsec-policy=in,ipsec
/ip firewall nat
add action=accept chain=srcnat dst-address=10.160.10.0/24 src-address=\
    10.170.10.0/24
add action=accept chain=srcnat dst-address=10.0.0.0/8
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN
/ip ipsec identity
add notrack-chain=prerouting peer=ASA-Podolsk secret="\C7\"\FB\FB\F60\EA\E2+"
add peer=sec-ivg secret=password
/ip ipsec policy
add disabled=yes dst-address=10.160.10.0/24 peer=sec-ivg proposal=ipsec-ivg \
    src-address=10.170.10.0/24 tunnel=yes
add dst-address=10.0.0.0/8 peer=ASA-Podolsk proposal=asa-p2 src-address=\
    10.180.10.0/24 tunnel=yes
add disabled=yes dst-address=10.0.0.0/8 peer=ASA-Podolsk proposal=asa-p2 \
    src-address=10.160.10.0/24 tunnel=yes
/ip route
add disabled=yes distance=10 gateway=ether1 pref-src=10.170.10.1
add disabled=yes distance=8 gateway=89.x.x.x
add disabled=yes distance=7 dst-address=10.0.0.0/8 gateway=bridge1
add disabled=yes distance=6 dst-address=10.135.115.0/24 gateway=bridge1
add disabled=yes distance=6 dst-address=10.150.10.0/24 gateway=bridge1
add disabled=yes distance=1 dst-address=10.160.10.0/24 gateway=Belru \
    pref-src=192.168.2.8 

Edited June 26, 2024 by Nick Archer

[jffulcrum]

3 часа назад, Nick Archer сказал:

 

Если нужен конфиг Циски скажите как )

copy running-config tftp:

 

3 часа назад, Nick Archer сказал:

/interface ipip
add allow-fast-path=no disabled=yes ipsec-secret=PWD local-address=\
    192.168.158.200 name=ipip-tunnel1 remote-address=178.x.x.x

Требует белых IP , используйте что-то другое, или стройте голый IPSEС. И кстати, указание ключа в свойствах туннеля обнуляет всю вашу машинерию в IPSec  ниже, будет использоваться default policy/profile/proposal, точнее их скрытые клоны для данного туннеля

 

3 часа назад, Nick Archer сказал:

add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN

Это очень плохая конфигурация для любых туннелей. Надо исключать прямо диапазоны самих туннелей и сетей за ними

 

4 часа назад, Nick Archer сказал:

add auth-algorithms=sha512,sha256,sha1 enc-algorithms=\
    aes-256-cbc,aes-256-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm lifetime=8h \
    name=asa-p2 pfs-group=none

 

Если у вас IKEv1,вам нужен 3DES, иначе у вас фаза 1 никогда не закончится...

 

 

[Nick Archer]

Я же правильно вижу, что туннель установлен?

Пинги правда не ходят. Проблема в маршрутах? Заворотах трафика?

 

с Циски

 

IKEv1 SAs:

   Active SA: 2
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: 213.87.149.13
    Type    : L2L             Role    : responder
    Rekey   : no              State   : AM_ACTIVE
2   IKE Peer: 193.68.72.50
    Type    : user            Role    : initiator
    Rekey   : no              State   : MM_WAIT_MSG2

IKEv2 SAs:

Session-id:1, Status:UP-ACTIVE, IKE count:1, CHILD count:1
 

Или требуется вторая фаза? MM_WAIT_MSG2?

 

Кто может помочь за вознаграждение?

 

Edited June 27, 2024 by Nick Archer

[jffulcrum]

7 часов назад, Nick Archer сказал:

Я же правильно вижу, что туннель установлен?

Нет. В IPSEc что-то установлено только после появления в "Installed SAs". Established может означать просто, что первые пакеты IKE прошли.

 

Пока уберите ipip туннель вообще, и смотрите Log, что пишет по IPSec

[Nick Archer]

ipip убрал. 

Настроен только ipsec.

 

Edited June 27, 2024 by Nick Archer

[Nick Archer]

Ну вроде туннель поднялся.

Пинги из сети микротика идут до внутренней сети, но не возвращаются из-за ошибки в NAT.

Что поправить?

 

я в правилах ничего не увидел...

 

 

MSK-ASA(config)# sh run nat
nat (outside2,outside2) source static RIGA RIGA destination static NETWORK_OBJ_10.199.254.0_25 NETWORK_OBJ_10.199.254.0_25 no-proxy-arp route-lookup
nat (outside,inside) source dynamic NETWORK_OBJ_10.199.254.0_25 interface
nat (outside,outside) source static RIGA RIGA destination static NETWORK_OBJ_10.199.254.0_25 NETWORK_OBJ_10.199.254.0_25 no-proxy-arp route-lookup
nat (inside,outside) source static any any destination static NETWORK_OBJ_10.199.254.0_25 NETWORK_OBJ_10.199.254.0_25 no-proxy-arp route-lookup
nat (inside,outside) source static DM_INLINE_NETWORK_2 DM_INLINE_NETWORK_2 destination static NETWORK_OBJ_10.135.20.0_24 NETWORK_OBJ_10.135.20.0_24 no-proxy-arp route-lookup
nat (outside2,inside) source dynamic NETWORK_OBJ_10.199.254.0_25 interface
nat (inside,outside2) source static any any destination static NETWORK_OBJ_10.199.254.0_25 NETWORK_OBJ_10.199.254.0_25 no-proxy-arp route-lookup
nat (inside,outside2) source static DM_INLINE_NETWORK_2 DM_INLINE_NETWORK_2 destination static DM_INLINE_NETWORK_1 DM_INLINE_NETWORK_1 no-proxy-arp route-lookup
!
object network mail_server_https
 nat (inside,outside) static interface service tcp https https
object network mail_server_http
 nat (inside,outside) static interface service tcp www www
object network mail_server_smtp
 nat (inside,outside) static interface service tcp smtp smtp
object network mail_server_smtp_465
 nat (inside,outside) static interface service tcp 465 465
object network mail_server_smtp_587
 nat (inside,outside) static interface service tcp 587 587
object network mail_server_imaps
 nat (inside,outside) static interface service tcp 993 993
object network mail_server_pops
 nat (inside,outside) static interface service tcp 995 995
object network kerio_vpn_tcp
 nat (inside,outside) static interface service tcp 4090 4090
object network kerio_vpn_udp
 nat (inside,outside) static interface service udp 4090 4090
object network kerio_admin_panel
 nat (inside,outside) static interface service tcp 4081 4081
object network mgmt_01_server
 nat (inside,outside) static interface service tcp 3389 3389
object network windows_admin_center
 nat (inside,outside) static interface service tcp 444 444
object network windows_10_gpu_server_3393
 nat (inside,outside) static interface service tcp 3389 3393
object network mail_server_smtp2
 nat (inside,outside2) static interface service tcp smtp smtp
object network mail_server_https2
 nat (inside,outside2) static interface service tcp https https
object network mail_server_http2
 nat (inside,outside2) static interface service tcp www www
object network windows_admin_center2
 nat (inside,outside2) static interface service tcp 444 444
object network mail_server_smtp_4652
 nat (inside,outside2) static interface service tcp 465 465
object network mail_server_smtp_5872
 nat (inside,outside2) static interface service tcp 587 587
object network mail_server_imaps2
 nat (inside,outside2) static interface service tcp 993 993
object network mail_server_pops2
 nat (inside,outside2) static interface service tcp 995 995
object network kerio_admin_panel2
 nat (inside,outside2) static interface service tcp 4081 4081
object network kerio_vpn_tcp2
 nat (inside,outside2) static interface service tcp 4090 4090
object network kerio_vpn_udp2
 nat (inside,outside2) static interface service udp 4090 4090
object network mgmt_01_server2
 nat (inside,outside2) static interface service tcp 3389 3389
object network windows_10_gpu_server_33932
 nat (inside,outside2) static interface service tcp 3389 3393
object network ftp_conall
 nat (inside,outside2) static interface service tcp ftp ftp
object network ftp_conall_udp
 nat (inside,outside2) static interface service tcp ftp-data ftp-data
object network VD0
 nat (inside,outside2) static interface service tcp 8085 8085
object network VDO2
 nat (inside,outside2) static interface service tcp www 8333
object network 10.135.115.99_http
 nat (inside,outside2) static interface service tcp 8843 8843
object network 10.135.115.4_ssh
 nat (inside,outside2) static 109.73.37.214_new service tcp ssh ssh
object network 10.135.115.4_2022
 nat (inside,outside2) static 109.73.37.214_new service tcp ssh 2022
!
nat (inside,outside2) after-auto source static cloud interface service 8843 8843 inactive
nat (inside,outside) after-auto source dynamic DM_INLINE_NETWORK_3 interface
nat (inside,outside2) after-auto source dynamic DM_INLINE_NETWORK_3 interface