Jump to content
Калькуляторы

dfl260e-ipsec-mikrotik site-to-site Инициализация тоннеля, помогите.

Имею сеть из 3х dfl-260e и 5х mikrotik RB-951g. Все коннектятся к центральному DFL в тоннельном режиме по IPSEC. То есть есть центральный сервер с виртуалками и DFL, а есть остальные офисы. Собственно в чем проблема: между DFL и mikrotik ipsec поднимается только по инициативе DFL. То есть делаем перезагрузку обоих устройств и пока я не пошлю пакеты из сети за DFL в сеть за mikrotik, тоннель не поднимется. Поле поднятия никаких проблем, все друг друга видят, тоннель стабильный.

 

Конфигурация настройки ipsec на DFL одинаковая для всех, то есть и для mikrotik и для DFL-ов. DFL-ы между собой отлично тоннели поднимают и никаких проблем а с mikrotik вот такая канитель.

 

Почему так происходит? Что я не доделываю?

post-123684-072333100 1415963081_thumb.jpg

post-123684-033998300 1415963088_thumb.jpg

post-123684-049291900 1415963095_thumb.jpg

post-123684-001476500 1415963103_thumb.jpg

Share this post


Link to post
Share on other sites

Почему так происходит? Что я не доделываю?

 

Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов.

Share this post


Link to post
Share on other sites

В свое время я эту проблему не порешал, отказался на этом участке от ipsec в пользу PPTP.

Второй микротик для этого вовсе не обязателен:)

Share this post


Link to post
Share on other sites

admin53, ip route покажите еще. Как вариант - поиграть с версиями ROS на микротах, они его довольно активно чинят/ломают.

Share this post


Link to post
Share on other sites

Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения.

 

Хотя я могу ошибаться, конечно.

Share this post


Link to post
Share on other sites

Почему так происходит? Что я не доделываю?

 

Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов.

 

А как же еще один микротик для резервирования микротика и микротик для туннелирования внутри туннелирования?

Share this post


Link to post
Share on other sites

Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения.

Тут не в conntrack дело, а в кривых раутах возможно. Хотя ROS и ipsec - это вообще плохо совместимые вещи.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.