IPsec VPN - проблема

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPsec VPN - проблема

Сообщение Chupaka »

Всё равно, под какими они адресами пойдут?

Код: Выделить всё

/ip firewall nat
add action=netmap chain=srcnat dst-address=171.45.211.32 src-address=192.168.0.0/16 to-addresses=175.55.188.0/24
jacka
Сообщения: 10
Зарегистрирован: 27 дек 2016, 09:30

Re: IPsec VPN - проблема

Сообщение jacka »

Chupaka писал(а):Всё равно, под какими они адресами пойдут?

Код: Выделить всё

/ip firewall nat
add action=netmap chain=srcnat dst-address=171.45.211.32 src-address=192.168.0.0/16 to-addresses=175.55.188.0/24
Как всегда Chupaka имеет ответы на все вопросы, спасибо!
chizh
Сообщения: 16
Зарегистрирован: 08 янв 2017, 22:29

Re: IPsec VPN - проблема

Сообщение chizh »

Заранее прошу прощения за оффтопик в чужой теме, но решил тем не плодить. К тому же тема смежная, может кто нибудь объяснить что такое local-peer в настройке /ip ipsec peer?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPsec VPN - проблема

Сообщение Chupaka »

Не вижу ничего такого:

Код: Выделить всё

[admin@TestPlace] /ip ipsec peer> get 0 
address                exchange-mode    policy-template-group
auth-method            generate-policy  port                 
certificate            hash-algorithm   proposal-check       
comment                key              remote-certificate   
compatibility-options  lifebytes        remote-key           
dh-group               lifetime         responder            
disabled               local-address    secret               
dpd-interval           mode-config      send-initial-contact 
dpd-maximum-failures   my-id            xauth-login          
dynamic                nat-traversal    xauth-password       
enc-algorithm          passive          value-name           
Имелся в виду local-address?
chizh
Сообщения: 16
Зарегистрирован: 08 янв 2017, 22:29

Re: IPsec VPN - проблема

Сообщение chizh »

Да, простите опечатался видимо, именно local-address. Для чего он, в вики на офф сайте про него ничего не написано.
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: IPsec VPN - проблема

Сообщение freewood »

Написано, но только в разделе remote peers. Это адрес на интерфейсе роутера с которым соединен удаленный ipsec peer. Соответсвенно если на роутере несколько внешних адресов, то указав один из них в свойствах пира, мы разрешим последнему подключаться только к данному ip адресу роутера.
chizh
Сообщения: 16
Зарегистрирован: 08 янв 2017, 22:29

Re: IPsec VPN - проблема

Сообщение chizh »

Я так понимаю, это мой внешний ip, но я пробовал и соединение не устанавливалось. Но даже если и так то как быть если ROS в качестве клиента с серым IP?
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: IPsec VPN - проблема

Сообщение freewood »

IKE туннель у вас не получится настроить с серым IP, разве что только вам провайдер пробросы сделает. С серым IP можно использовать IPSEC только поверх какого-то транспорта, например L2TP, и клиентом должен выступать ваш роутер.
local-address - в настройках пира указывать не надо.
chizh
Сообщения: 16
Зарегистрирован: 08 янв 2017, 22:29

Re: IPsec VPN - проблема

Сообщение chizh »

Это на mikrotik с белым ip

Код: Выделить всё

#
/ip ipsec mode-config
add address-pool=ipsec-pool name=cfg1 split-include=192.168.4.0/24,10.2.2.0/24,192.168.89.0/24
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] disabled=yes enc-algorithms=3des
add enc-algorithms=3des name=proposal1
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=3des generate-policy=port-override mode-config=cfg1 nat-traversal=no passive=yes \
    policy-template-group=group1 secret=v1rkmbv9ieqc send-initial-contact=no
/ip ipsec policy
set 0 disabled=yes dst-address=0.0.0.0/0 src-address=0.0.0.0/0
add disabled=yes dst-address=192.168.89.0/24 group=group1 proposal=proposal1 src-address=192.168.4.0/24 template=yes
add disabled=yes dst-address=192.168.4.0/24 group=group1 proposal=proposal1 src-address=192.168.89.0/24 template=yes
add dst-address=0.0.0.0/0 group=group1 proposal=proposal1 src-address=0.0.0.0/0 template=yes
это на mikrotik клиенте который в интернет выходит через 3g modem с серым ip

Код: Выделить всё

#
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip ipsec peer
add address=x.x.x.x/32 generate-policy=port-override mode-config=request-only secret=v1rkmbv9ieqc
на интерфейс ppp-out1 я получаю динамически адрес из диапазона 192.168.89.0/24

это маршруты

Код: Выделить всё

[admin@MikroTik] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.112.112.128            1
 1 ADC  10.112.112.128/32  10.235.196.215  ppp-out1                  0
 2 ADC  10.255.255.1/32    10.255.255.1    loopback                  0
 3 A S  192.168.4.0/24     192.168.89.115  192.168.89.1              1
 4 ADC  192.168.78.0/24    192.168.78.1    bridge-local              0
 5 ADC  192.168.89.0/24    192.168.89.115  ppp-out1                  0
а это результат пинга сети которая находится за mikrotik с белым ip

Код: Выделить всё

[admin@MikroTik] >  ping 192.168.4.9
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                                                                                                       
    0 192.168.4.9                                56 127 82ms 
    1 192.168.4.9                                56 127 87ms 
    2 192.168.4.9                                56 127 87ms 
    3 192.168.4.9                                56 127 85ms 
    4 192.168.4.9                                56 127 86ms 
    sent=5 received=5 packet-loss=0% min-rtt=82ms avg-rtt=85ms max-rtt=87ms 
но для меня проблема в том что приходится руками прописывать маршрут который третьей строкой указан. При этом настройка пира отрабатывает также и при белом адресе. Я так понимаю, что это всё таки ike tunnel.
chizh
Сообщения: 16
Зарегистрирован: 08 янв 2017, 22:29

Re: IPsec VPN - проблема

Сообщение chizh »

UP. Ребята, помогите, как наладить связь не прописывая маршрут вручную.
Ответить