Igor17 Posted May 16, 2011 Posted May 16, 2011 Всем привет! Имеем несколько роутеров D-Link, которые соединяют отдельные офисы VPN-соединения по IPsec . Возникла идея постепенно перевести сетевую инфраструктуру на более надёжное оборудование. Как вариант рассматриваем Mikrotik. Купили роутер RB450G и пытаемся настроить IPsec между ним и D-link DFL-260. Получается плохо - по сути: неработающее решение. Может быть, конечно, неправильно что-то делаем... У кого-нибудь получалось в принципе настроить IPsec между роутерами Mikrotik и D-Link? Вставить ник Quote
breusovok Posted May 16, 2011 Posted May 16, 2011 IP sec, по сути, стандартизированный протокол, достаточно правильно настроить. Был опыт построения сети на DIR-330+pfSense. Я думаю, надо скинуть настройки железа в студию. Вставить ник Quote
Igor17 Posted May 16, 2011 Author Posted May 16, 2011 (edited) Я думаю, надо скинуть настройки железа в студию. Я бы скинул - но пока не понимаю как - чтобы не очень громоздко было С Mikrotik - наверное, > ip export, а с Д-Линк как? Скриншоты сделать? В общем, там 3 основных проблемы у меня были: 1) если не пинговать LAN Д-линк со стороны Микротика, тунель сам по себе не устанавливается 2) через 1 час (это IPsec lifetime) вижу запись в логе - типа туннель expired, после этого тунель прекращается и сам по себе не восстанавливается, пока Flush SA не сделаешь 3) периодически (по непонятному для меня закону) IPsec policy (в которой ничего не менялось) в момент установления туннеля делалась в Микротик красной - типа invalid. Чтобы сделать её нормальной, требовалось на ней вручную нажать "enable". Edited May 16, 2011 by Igor17 Вставить ник Quote
breusovok Posted May 18, 2011 Posted May 18, 2011 Искать надо что-то типа keep alive, давно это было не помню точно, было такое же с отвалами, переставили с по запросу на постоянную работу и все поехало. ищите на длинке Вставить ник Quote
Igor17 Posted May 19, 2011 Author Posted May 19, 2011 (edited) В Д-линке всё нормально. Keep alive тоже есть, но это не помогает. Мы также провели тестирование - установили IPsec между Д-Линк и роутером НР - канал работает стабильно. Пытаемся сделать канал между Микротик и НР - те же проблемы, что и с Д-линк. Поэтому я думаю, что дело здесь именно в Микротик. Привожу его конфигурацию - может у кого возникнут мысли - что здесь не так ========================================================================== [admin@MikroTik] > ip export # may/19/2011 17:35:36 by RouterOS 5.2 # /ip hotspot profile set default dns-name="" hotspot-address=0.0.0.0 html-directory=hotspot \ http-cookie-lifetime=3d http-proxy=0.0.0.0:0 login-by=cookie,http-chap \ name=default rate-limit="" smtp-server=0.0.0.0 split-user-domain=no \ use-radius=no /ip hotspot user profile set default idle-timeout=none keepalive-timeout=2m name=default shared-users=1 \ status-autorefresh=1m transparent-proxy=no /ip ipsec proposal set default auth-algorithms=sha1 disabled=no enc-algorithms=aes-128 lifetime=1h \ name=default pfs-group=modp1024 /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=default-dhcp authoritative=after-2sec-delay bootp-support=\ static disabled=no interface=bridge lease-time=3d name=default /ip accounting set account-local-traffic=no enabled=no threshold=256 /ip accounting web-access set accessible-via-web=no address=0.0.0.0/0 /ip address add address=192.168.65.1/24 comment="default configuration" disabled=no \ interface=ether2-local network=192.168.65.0 add address=85.111.222.171/26 disabled=no interface=ether1-gateway network=\ 85.111.222.128 /ip dhcp-client add add-default-route=yes comment="default configuration" \ default-route-distance=1 disabled=no interface=ether1-gateway use-peer-dns=\ yes use-peer-ntp=yes /ip dhcp-server config set store-leases-disk=5m /ip dhcp-server network add address=192.168.88.0/24 comment="default configuration" dns-server=\ 192.168.88.1 gateway=192.168.88.1 /ip dns set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB \ max-udp-packet-size=512 servers=85.142.227.7,85.142.228.7 /ip dns static add address=192.168.88.1 disabled=no name=router ttl=1d /ip firewall connection tracking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \ tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=\ 10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \ tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s \ udp-stream-timeout=3m udp-timeout=10s /ip firewall filter add action=accept chain=output disabled=no dst-address=172.24.24.0/24 \ src-address=192.168.65.0/24 add action=accept chain=input disabled=no dst-address=192.168.65.0/24 \ src-address=172.24.24.0/24 add action=accept chain=input comment="default configuration" disabled=no \ protocol=icmp add action=accept chain=input comment="default configuration" connection-state=\ established disabled=no in-interface=ether1-gateway add action=accept chain=input comment="default configuration" connection-state=\ related disabled=no in-interface=ether1-gateway add action=drop chain=input comment="default configuration" disabled=no \ in-interface=ether1-gateway /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" disabled=no \ out-interface=ether1-gateway /ip firewall service-port set ftp disabled=no ports=21 set tftp disabled=no ports=69 set irc disabled=no ports=6667 set h323 disabled=no set sip disabled=no ports=5060,5061 set pptp disabled=no /ip hotspot service-port set ftp disabled=no ports=21 /ip ipsec peer add address=195.111.222.20/32 auth-method=pre-shared-key dh-group=modp1024 \ disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=\ aes-128 exchange-mode=main generate-policy=no hash-algorithm=md5 lifebytes=\ 0 lifetime=8h my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=\ obey secret=Test123456 send-initial-contact=yes /ip ipsec policy add action=encrypt disabled=no dst-address=172.24.24.0/24 dst-port=any \ ipsec-protocols=esp level=require priority=0 proposal=default protocol=all \ sa-dst-address=195.111.222.20 sa-src-address=85.111.222.171 src-address=\ 192.168.65.0/24 src-port=any tunnel=yes /ip neighbor discovery set ether1-gateway discover=no set ether2-local discover=yes set ether3-local discover=yes set ether4-local discover=yes set ether5-local discover=yes set bridge discover=yes /ip proxy set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 \ cache-on-disk=no enabled=no max-cache-size=none max-client-connections=600 \ max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 \ parent-proxy-port=0 port=8080 serialize-connections=no src-address=0.0.0.0 /ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=85.111.222.129 scope=\ 30 target-scope=10 /ip service set telnet disabled=no port=23 set ftp disabled=no port=21 set www disabled=no port=80 set ssh disabled=no port=22 set www-ssl certificate=none disabled=yes port=443 set api disabled=yes port=8728 set winbox disabled=no port=8291 /ip socks set connection-idle-timeout=2m enabled=no max-connections=200 port=1080 /ip ssh set forwarding-enabled=no /ip traffic-flow set active-flow-timeout=30m cache-entries=4k enabled=no inactive-flow-timeout=\ 15s interfaces=all /ip upnp set allow-disable-external-interface=yes enabled=no show-dummy-rule=yes ============================================================================== Данная конфигурация получена из дефолтной + настройки ip адресов WAN и LAN + настройки IPsec + firewall Edited May 19, 2011 by Igor17 Вставить ник Quote
breusovok Posted May 21, 2011 Posted May 21, 2011 мне выражение level=require не понравилось... есть другие варианты? Вставить ник Quote
Igor17 Posted May 23, 2011 Author Posted May 23, 2011 мне выражение level=require не понравилось... есть другие варианты? ещё можно level=unique или use Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.