Jump to content
Калькуляторы

dfl260e-ipsec-mikrotik site-to-site Инициализация тоннеля, помогите.

Имею сеть из 3х dfl-260e и 5х mikrotik RB-951g. Все коннектятся к центральному DFL в тоннельном режиме по IPSEC. То есть есть центральный сервер с виртуалками и DFL, а есть остальные офисы. Собственно в чем проблема: между DFL и mikrotik ipsec поднимается только по инициативе DFL. То есть делаем перезагрузку обоих устройств и пока я не пошлю пакеты из сети за DFL в сеть за mikrotik, тоннель не поднимется. Поле поднятия никаких проблем, все друг друга видят, тоннель стабильный.

 

Конфигурация настройки ipsec на DFL одинаковая для всех, то есть и для mikrotik и для DFL-ов. DFL-ы между собой отлично тоннели поднимают и никаких проблем а с mikrotik вот такая канитель.

 

Почему так происходит? Что я не доделываю?

post-123684-072333100 1415963081_thumb.jpg

post-123684-033998300 1415963088_thumb.jpg

post-123684-049291900 1415963095_thumb.jpg

post-123684-001476500 1415963103_thumb.jpg

Share this post


Link to post
Share on other sites

Почему так происходит? Что я не доделываю?

 

Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов.

Share this post


Link to post
Share on other sites

В свое время я эту проблему не порешал, отказался на этом участке от ipsec в пользу PPTP.

Второй микротик для этого вовсе не обязателен:)

Share this post


Link to post
Share on other sites

admin53, ip route покажите еще. Как вариант - поиграть с версиями ROS на микротах, они его довольно активно чинят/ломают.

Share this post


Link to post
Share on other sites

Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения.

 

Хотя я могу ошибаться, конечно.

Share this post


Link to post
Share on other sites

Почему так происходит? Что я не доделываю?

 

Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов.

 

А как же еще один микротик для резервирования микротика и микротик для туннелирования внутри туннелирования?

Share this post


Link to post
Share on other sites

Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения.

Тут не в conntrack дело, а в кривых раутах возможно. Хотя ROS и ipsec - это вообще плохо совместимые вещи.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this