Jump to content

dfl260e-ipsec-mikrotik

admin53

By admin53
in Mikrotik Wireless

 Share

Recommended Posts

admin53

admin53

Posted
Posted

Имею сеть из 3х dfl-260e и 5х mikrotik RB-951g. Все коннектятся к центральному DFL в тоннельном режиме по IPSEC. То есть есть центральный сервер с виртуалками и DFL, а есть остальные офисы. Собственно в чем проблема: между DFL и mikrotik ipsec поднимается только по инициативе DFL. То есть делаем перезагрузку обоих устройств и пока я не пошлю пакеты из сети за DFL в сеть за mikrotik, тоннель не поднимется. Поле поднятия никаких проблем, все друг друга видят, тоннель стабильный.

 

Конфигурация настройки ipsec на DFL одинаковая для всех, то есть и для mikrotik и для DFL-ов. DFL-ы между собой отлично тоннели поднимают и никаких проблем а с mikrotik вот такая канитель.

 

Почему так происходит? Что я не доделываю?

post-123684-072333100 1415963081_thumb.jpg

post-123684-033998300 1415963088_thumb.jpg

post-123684-049291900 1415963095_thumb.jpg

post-123684-001476500 1415963103_thumb.jpg

Saab95

Saab95

Posted
Posted

Почему так происходит? Что я не доделываю?

 

Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов.

danilbal

danilbal

Posted
Posted

Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения.

 

Хотя я могу ошибаться, конечно.

tartila

tartila

Posted
Posted

Почему так происходит? Что я не доделываю?

 

Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов.

 

А как же еще один микротик для резервирования микротика и микротик для туннелирования внутри туннелирования?

Night_Snake

Night_Snake

Posted
Posted

Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения.

Тут не в conntrack дело, а в кривых раутах возможно. Хотя ROS и ipsec - это вообще плохо совместимые вещи.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.