IPsec VPN - проблема

[jacka]

Добрый день,

Есть задача с который у меня возникли трудности, прошу вашу помощь.

Есть сервер DB (171.45.211.32) к нему можно добратя только есль есть IPsec соединение с конторой где стоит Cisco (81.136.200.4), это контора выдает разным организациям подсети только с этих подсети можно дойти до сервера, мне выделили эту сеть 175.55.188.0/24

Мой Микротик: 187.223.181.28
Cisco: 81.136.200.4
Выделиное сеть: 175.55.188.0/24
Сервак к которму мои киленты должны добратся: 171.45.211.32

Что я сделал:

1. Успешно подключил IPsec между 187.223.181.28 и 81.136.200.4
2. Добавил Filter и NAT правила
2. Включил PPTP server
3. Добавил POOL (175.55.188.2-175.55.188.253)

Теперь мой клиенты успешно подключается к моему PPTP серверу, получает например IP 175.55.188.3 (Скрин: http://i.imgur.com/ctYBLJO.jpg) но к сожелению дойти до сервера 171.45.211.32 не получается

Ворпос, какой маршрут должен я прописать чтобы IP из 175.55.188.0/24 доходили до сервака 171.45.211.32 ?

Спасибо


Config:

IPsec

/ip ipsec proposal add enc-algorithms=aes-256-cbc lifetime=1d name=DDTC pfs-group=none
/ip ipsec peer add address=81.136.200.4/32 dpd-interval=45s dpd-maximum-failures=3 enc-algorithm=aes-256 nat-traversal=no secret=F*******4
/ip ipsec policy add dst-address=171.45.211.32/32 level=unique proposal=DDTC sa-dst-address=81.136.200.4/32 sa-src-address=187.223.181.28 src-address=175.55.188.0/24 tunnel=yes

FILTER

/ip firewall filter add action=accept chain=input dst-port=500 protocol=udp src-address=81.136.200.4
/ip firewall filter add action=accept chain=input protocol=ipsec-esp src-address=81.136.200.4
/ip firewall filter add action=accept chain=input dst-port=1723 protocol=tcp
/ip firewall filter add action=accept chain=input protocol=gre
/ip firewall filter add action=accept chain=output protocol=ipsec-esp
/ip firewall filter add action=accept chain=forward dst-address=171.45.211.50 src-address=175.55.188.0/24

NAT

/ip firewall nat add action=accept chain=srcnat dst-address=171.45.211.50 src-address=175.55.188.0/24


PPTP

/ppp profile add change-tcp-mss=no local-address=SOFT name=SOFT remote-address=SOFT use-upnp=no
/ppp secret add name=test password=test profile=SOFT service=pptp

POOL

/ip pool add name=SOFT ranges=175.55.188.2-175.55.188.253

ROUTE

[admin@MikroTik] > ip route print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 187.223.181.1 0
1 ADC 175.55.188.250/32 175.55.188.251 <pptp-test> 0
2 ADC 187.223.181.0/24 187.223.181.28 WAN 0
3 ADC 192.168.0.0/24 192.168.0.1 LAN1 0
[admin@MikroTik] >

[jacka]

Ошибочка вышла в моем первым посте, на самом деле вот так, но проблема не решена...

/ip firewall filter add action=accept chain=forward dst-address=171.45.211.32 src-address=175.55.188.0/24
/ip firewall nat add action=accept chain=srcnat dst-address=171.45.211.32 src-address=175.55.188.0/24

[Chupaka]

увы, никогда с IPSec не работал, но... при поднятии IPSec не должны появляться новые маршруты?
из /ip route print я бы сказал, что пакеты к 171.45.211.32 должны идти через шлюз по умолчанию

[freewood]

при поднятии IPSec не должны появляться новые маршруты?

Не, ipsec на микротике через "/ip ipsec policy" всю маршрутизацию делает.

[jacka]

Правильна говорит freewood, нет нового маршрута для IPsec

[Chupaka]

А трассировка где затыкается?

[jacka]

А трассировка где затыкается?

[admin@MikroTik] > tool traceroute 171.45.211.32
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 187.223.181.1 0% 2 0.4ms 0.5 0.4 0.5 0.1 2 100% 2 timeout
3 82.11.XXX.XX 0% 1 0.8ms 0.8 0.8 0.8 0
4 141.0.XXX.XXX 0% 1 2.9ms 2.9 2.9 2.9 0
5 100% 1 timeout
6 100% 1 timeout
7 100% 1 timeout
8 100% 1 timeout
9 100% 1 timeout
[admin@MikroTik] >

[jacka]

[Chupaka]

Трассировка с VPN-клиента

[jacka]

Ребята, спасибо большое все решилось, косяк был с той стороны. Они мою сеть не исключили из дропа.

Теперь другой вопрос, клиенты которые подключаются к моему PPTP серверу и получает IP с 175.55.188.0/24 pool видят сервер и могут работать, все отлично, как сделать так чтобы мои локальные клиенты 192.168.1.0/24 (LAN) и 192.168.10.0/24 (WiFi) тоже могли подключатся к серверу, я создал и тестил пару правил но к сожелению ничего не работает.

Вот правила которые работают для 175.55.188.0/24

/ip firewall filter add action=accept chain=forward dst-address=171.45.211.32 src-address=175.55.188.2-175.55.188.253

/ip firewall nat add action=accept chain=srcnat dst-address=171.45.211.32 src-address=175.55.188.0/24

/ip firewall mangle add action=accept chain=prerouting dst-address=175.55.188.0/24
/ip firewall mangle add action=accept chain=prerouting dst-port=5100 protocol=tcp
/ip firewall mangle add action=accept chain=prerouting dst-port=5101 protocol=tcp

[Chupaka]

Всё равно, под какими они адресами пойдут?

Код: Выделить всё

/ip firewall nat
add action=netmap chain=srcnat dst-address=171.45.211.32 src-address=192.168.0.0/16 to-addresses=175.55.188.0/24

[jacka]

Всё равно, под какими они адресами пойдут?

Код: Выделить всё

/ip firewall nat
add action=netmap chain=srcnat dst-address=171.45.211.32 src-address=192.168.0.0/16 to-addresses=175.55.188.0/24

Как всегда Chupaka имеет ответы на все вопросы, спасибо!

[chizh]

Заранее прошу прощения за оффтопик в чужой теме, но решил тем не плодить. К тому же тема смежная, может кто нибудь объяснить что такое local-peer в настройке /ip ipsec peer?

[Chupaka]

Не вижу ничего такого:

Код: Выделить всё

[admin@TestPlace] /ip ipsec peer> get 0 
address                exchange-mode    policy-template-group
auth-method            generate-policy  port                 
certificate            hash-algorithm   proposal-check       
comment                key              remote-certificate   
compatibility-options  lifebytes        remote-key           
dh-group               lifetime         responder            
disabled               local-address    secret               
dpd-interval           mode-config      send-initial-contact 
dpd-maximum-failures   my-id            xauth-login          
dynamic                nat-traversal    xauth-password       
enc-algorithm          passive          value-name           

Имелся в виду local-address?

[chizh]

Да, простите опечатался видимо, именно local-address. Для чего он, в вики на офф сайте про него ничего не написано.

[freewood]

Написано, но только в разделе remote peers. Это адрес на интерфейсе роутера с которым соединен удаленный ipsec peer. Соответсвенно если на роутере несколько внешних адресов, то указав один из них в свойствах пира, мы разрешим последнему подключаться только к данному ip адресу роутера.

[chizh]

Я так понимаю, это мой внешний ip, но я пробовал и соединение не устанавливалось. Но даже если и так то как быть если ROS в качестве клиента с серым IP?

[freewood]

IKE туннель у вас не получится настроить с серым IP, разве что только вам провайдер пробросы сделает. С серым IP можно использовать IPSEC только поверх какого-то транспорта, например L2TP, и клиентом должен выступать ваш роутер.
local-address - в настройках пира указывать не надо.

[chizh]

Это на mikrotik с белым ip

Код: Выделить всё

#
/ip ipsec mode-config
add address-pool=ipsec-pool name=cfg1 split-include=192.168.4.0/24,10.2.2.0/24,192.168.89.0/24
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] disabled=yes enc-algorithms=3des
add enc-algorithms=3des name=proposal1
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=3des generate-policy=port-override mode-config=cfg1 nat-traversal=no passive=yes \
    policy-template-group=group1 secret=v1rkmbv9ieqc send-initial-contact=no
/ip ipsec policy
set 0 disabled=yes dst-address=0.0.0.0/0 src-address=0.0.0.0/0
add disabled=yes dst-address=192.168.89.0/24 group=group1 proposal=proposal1 src-address=192.168.4.0/24 template=yes
add disabled=yes dst-address=192.168.4.0/24 group=group1 proposal=proposal1 src-address=192.168.89.0/24 template=yes
add dst-address=0.0.0.0/0 group=group1 proposal=proposal1 src-address=0.0.0.0/0 template=yes

это на mikrotik клиенте который в интернет выходит через 3g modem с серым ip

Код: Выделить всё

#
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip ipsec peer
add address=x.x.x.x/32 generate-policy=port-override mode-config=request-only secret=v1rkmbv9ieqc

на интерфейс ppp-out1 я получаю динамически адрес из диапазона 192.168.89.0/24

это маршруты

Код: Выделить всё

[admin@MikroTik] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.112.112.128            1
 1 ADC  10.112.112.128/32  10.235.196.215  ppp-out1                  0
 2 ADC  10.255.255.1/32    10.255.255.1    loopback                  0
 3 A S  192.168.4.0/24     192.168.89.115  192.168.89.1              1
 4 ADC  192.168.78.0/24    192.168.78.1    bridge-local              0
 5 ADC  192.168.89.0/24    192.168.89.115  ppp-out1                  0

а это результат пинга сети которая находится за mikrotik с белым ip

Код: Выделить всё

[admin@MikroTik] >  ping 192.168.4.9
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                                                                                                       
    0 192.168.4.9                                56 127 82ms 
    1 192.168.4.9                                56 127 87ms 
    2 192.168.4.9                                56 127 87ms 
    3 192.168.4.9                                56 127 85ms 
    4 192.168.4.9                                56 127 86ms 
    sent=5 received=5 packet-loss=0% min-rtt=82ms avg-rtt=85ms max-rtt=87ms 

но для меня проблема в том что приходится руками прописывать маршрут который третьей строкой указан. При этом настройка пира отрабатывает также и при белом адресе. Я так понимаю, что это всё таки ike tunnel.

[chizh]

UP. Ребята, помогите, как наладить связь не прописывая маршрут вручную.