Ipsec+DHCP 951ui-2HnD

[MATRIX41]

День добрый, особо не пинайте в гугл, всё что мог нагуглить - коэфициент кпд 0, пока в сетях дилетант с большой буквы Д. взял на себя ответственность держать офис из 50-ти машин + 50 VoIP телефонов. Но тут столкнулся в сложности выбора оборудования, т.к. в сетях пока плохо плаваю. Проблема такова, микротик не хочет со мной дружить.

1) Делаю резет - настраиваю ip микротика, как 192.168.60.1, DHCP пул 60.50-60.100, но при подключении к сети выдаётся всё равно адрес 88.254. - соответственно не работает ничего(подключаешься к роутеру в ручную прописанным IP) решил вопрос, настроил DHCP прописал роутеру IP адрес, сделал маскарад трафика в нате на интерфейс пппое - и чудесным образом появился интернет.

2) Поднимаю РРРОЕ если через создание интерфейса - на микротике инет есть, на клиентах нет. Если через quick set перевожу в режим РРРОЕ - то интернет есть и на клиентах. - тоже не понятно как такое происходит(или это разные вещи? хотя интерфейс РРРОЕ клиент появляется)

3) создаю IPSec туннель до ip адреса - тунель поднимается, но в одну сторону, т.е. пинги до моих компьютеров есть, а с моих компьютеров нет - логи настроек попозже скину.(опять резет сделал)

Может кто нибудь помочь и разжевать пока первые два вопроса, т.к. на 3 вопрос не подготовился.

Edited October 28, 2014 by MATRIX41

[pppoetest]

Выкинуть микротик, поставить тазик с *nix-ами.

[MATRIX41]

Выкинуть микротик, поставить тазик с *nix-ами.

Большое спасибо за совет.

Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше.

/ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp

Может кому потребуется

[Saab95]

Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше.

/ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp

Может кому потребуется

 

Так нужно было сбросить начальный конфиг, тогда и вносить изменения в файрвол бы не потребовалось - он совершенно лишняя вещь.

[MATRIX41]

Так нужно было сбросить начальный конфиг, тогда и вносить изменения в файрвол бы не потребовалось - он совершенно лишняя вещь.

К сожалению у меня не было никаких инструкций и прочих мануалов по микротику, очень долго я мучался с ним, но всё таки смог, теперь немного начинаю понимать как всё таки он устроен, у него поднимается всё на "виртуальных" интерфейсах. Всегда нужно сказать ему что и куда делать. Т.е. у меня сейчас 2 линии 1) адсл модем(PPPOE), 2) Оптоволокно (Static IP) - сейчас хочу придумать как из статик IP поднимать PPPОЕ резервный канал. Сложность в том что у меня впн с филиалом IPsec, и на стороне филиала обычный роутер TP-LINK модель не знаю. Я понимаю, что на микротиках - это сделать проще, создав два пира и скрипт на "прослушку" интерфейса. Но без понятия как сделать это на тплинке, если есть идеи буду рад прислушаться

Edited October 31, 2014 by MATRIX41

[Saab95]

Когда микротик только достаете из коробки, нужно его сбросить. Т.к. по умолчанию там настроены вещи, которые никому не нужны, и блокировки файрвола только создают проблемы и занимают производительность процессора, т.к. сначала там все блокируется, после вы разрешаете пропуск данных по нужным портам и т.п. При этом считаете что роутер якобы защищен. Да ему и без файрвола ничего не будет.

[Night_Snake]

Когда микротик только достаете из коробки, нужно его сбросить.

Поправка: выбросить

 

MATRIX41: Вот ман на всякий случай по ipsec на Mikrotik.

Кстати а с каких пор TP-Link научился в ipsec? Или там wrt стоит?

[MATRIX41]

Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так?

[Night_Snake]

Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так?

Для начала /ip firewall filter в студию, плюс настройки машрутизации и ipsec.

[MATRIX41]

Filter

1   ;;; Allow IKE
    chain=input action=accept protocol=udp dst-port=500 

2   ;;; Allow IPSec-esp
    chain=input action=accept protocol=ipsec-esp 

3   ;;; Allow IPSec-ah
    chain=input action=accept protocol=ipsec-ah 

4   ;;; Allow UDP
    chain=input action=accept protocol=udp 

5   ;;; default configuration
    chain=input action=accept protocol=icmp 

6   ;;; default configuration
    chain=input action=accept connection-state=established 

7   ;;; default configuration
    chain=input action=accept connection-state=related 

8   ;;; default configuration
    chain=input action=drop in-interface=ether1-gateway 

9   ;;; default configuration
    chain=forward action=accept connection-state=established 

10   ;;; default configuration
    chain=forward action=accept connection-state=related 

11   ;;; default configuration
    chain=forward action=drop connection-state=invalid 

 

Это NAT

Flags: X - disabled, I - invalid, D - dynamic 
0 X chain=srcnat action=accept protocol=tcp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 

1 X  chain=srcnat action=accept protocol=udp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 

2   chain=srcnat action=accept src-address=192.168.60.0/24 dst-address=192.168.10.0/24 

3   ;;; default configuration
    chain=srcnat action=masquerade out-interface=ether1-gateway 

Service port

Flags: X - disabled, I - invalid 
#   NAME                                                                                                                                                                                                                          PORTS
0   ftp                                                                                                                                                                                                                           21   
1   tftp                                                                                                                                                                                                                          69   
2   irc                                                                                                                                                                                                                           6667 
3   h323                                                                                                                                                                                                                         
4   sip                                                                                                                                                                                                                           5060 
                                                                                                                                                                                                                                  5061 
5   pptp  

[MATRIX41]

Это последнее моё сообщение на сегодня))))) вообщем заметил что при подключенном ВПН IPsec пинги идут по bridge-local интерфейсу, хотя должны быть в ether1 т.к. он ведь находится у меня не в локальной сети.

Routes

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          188.168.8.xxx               1
1 ADC  188.168.8.0/24     188.168.8.xxx   ether1-gateway            0
2 ADC  192.168.60.0/24    192.168.60.1    bridge-local              0

В данный момент тунель почему-то работает в одностороннем режиме... Т.к. переговорив с филиалом дела плохи в мою сторону по пингу

 

Предварительно создав бекап того, что работает скинул всё на заводские настройки, а затем вообще в 0, настроить по нормальному не смог, долго мучал DHCP который даже не стал выдавать заведомо прописанные адреса, и всех посылал в 169.**.**.** вообщем есть у кого толковый мануал на русском языке - что это за бородец(mikrotik) и вообще с чем его едят?

Edited November 5, 2014 by MATRIX41

[Night_Snake]

MATRIX41 вас в гугле забанили? :)

[MATRIX41]

MATRIX41 вас в гугле забанили? :)

Никак нет, там всё очень скудно))) нет каких то статей для чайников не понимающих в сетях) проблемы есть с роутером, а вот как это решить не знаю. Как создать правило (где нибудь) чтобы пакеты не попадали под фильтр от 192.168.10.6 до 192.168.60.100 и обратно?

[pandel]

http://yandex.ru/yandsearch?text=%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%20%D1%80%D0%BE%D1%83%D1%82%D0%B5%D1%80%D0%B0%20%D0%BC%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA

[MATRIX41]

http://yandex.ru/yan...%82%D0%B8%D0%BA

Большое спасибо, перечитал почти всё, что есть. И так ситуация с IP телефонией, значится телефоны d-link с такой схемой работать не хотят, а вот с компьютера, поставив программу для SIP телефонии(в той же под сети что и телефоны, из того же пула адресов) подключилось и работает. То есть виноват я так понимаю не микротик, а уже сам телефон. Первым делом я прогуглил/прояндексил - все результаты настройки телефонов, и как сип телефония вообще работает. Всё до банальности просто. Но вот беда, телефоны попрежнему не видят удалённую подсеть. Хотя трасерты с компьютера и микротика показывают что всё нормаль, вот все узлы.

[MATRIX41]

Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал.

 

Кстати а с каких пор TP-Link научился в ipsec? Или там wrt стоит?

TP-link 6020 - который

[Night_Snake]

Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал.

Рад, что у вас все получилось. Насчет резервирования - на хабре куча статей по этому поводу.

[MATRIX41]

Вернулся я уже с другим вопросом, все хорошо, микротик на ура держит связь, VPN стабилен уже месяц. Вопрос интересует сейчас такой, у меня господа юзеры - "не хотят" ходить на социальные сети, и развлекательные порталы, самые основные развлекательные каналы по компьютеру я убрал reject'ом теперь вот мучаюсь как бы видеотрафик запретить, т.е. Все возможные фильмы онлайн и прочее. Есть ли какие нибудь правила для дропа пакетов по типу контента? допустим Flash player Он по сути не нужен. Да есть много сайтов с flash меню и анимацией, но я думаю что это больше развлекательные ресурсы, поэтому опять прошу помощи.