Добрый день.
Возникла необходимость вернуться к своему же вопросу полугодовой давности. На тот момент был вынужден переключиться на более актуальные темы, а сейчас оно снова выстрелило.
Новую тему не открываю, но многое с того времени понял и осознал
Итак, настраиваю Remote Access IPSec VPN IKEv2
За основу брал вот это:
http://mikrotik.vetriks.ru/wiki/VPN:IPs ... %BB%D1%8F)
https://wiki.mikrotik.com/wiki/Manual:I ... de_configs
Вот экспорт политики.
Код: Выделить всё
# jan/17/2019 16:29:12 by RouterOS 6.43.4
# software id = CWH4-5M0Q
#
# model = RouterBOARD 3011UiAS
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h \
name=phase1_ra_win10
/ip ipsec policy group
add name=remote_access
/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=phase2_ra_win10 pfs-group=none
/ip pool
add name=Adv-RemoteAccess ranges=192.168.20.2-192.168.20.62
/ip ipsec mode-config
add address-pool=Adv-RemoteAccess address-prefix-length=26 name=r_access_cfg
/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
exchange-mode=ike2 generate-policy=port-strict mode-config=r_access_cfg \
passive=yes policy-template-group=remote_access profile=phase1_ra_win10 \
remote-certificate=vpn.client01 send-initial-contact=no
/ip ipsec policy
set 0 comment="Remote Access (Road Warrior)" dst-address=192.168.20.0/26 \
group=remote_access proposal=phase2_ra_win10 src-address=0.0.0.0/0
В настройках FW создал и расположил максимально высоко следующие правила
Код: Выделить всё
/ip firewall filter
add action=accept chain=input comment="Allow establish Remote Access" \
in-interface=eth1-WAN log=yes log-prefix=remote_sys port=500,1701,4500 \
protocol=udp
add action=accept chain=input comment="Allow establish Remote Access" \
in-interface=eth1-WAN log=yes log-prefix=remote_sys protocol=ipsec-esp
add action=accept chain=forward log=yes log-prefix=remote_data src-address=\
192.168.20.0/26 dst-address=192.168.40.0/26
Сам RemoteAccess устанавливается:
IPSEC1.png
но не работает
Вопросов будет несколько.
Первый из них.
При установленном соединении есть возможность пинговать только сам рутер. Никакие другие ресурсы, будь то внешние сервера или рабочие станции локальной сети, недоступны.
При этом, если убрать Split Include из Mode Config,
IPSEC2.png
то внешние ресурсы становятся доступны (трафик идет через тунель, к этому вопросу я еще вернусь), но рабочие станции локальной сети, по-прежнему, недоступны.
При этом в логах Miktorik-a видно, что трафик проходит (т.е. разрешен). Правило FW, специально, сделано таким обширным.
Скажите, пожалуйста, где у меня ошибка?
Заранее и с уважением
У вас нет необходимых прав для просмотра вложений в этом сообщении.