не работает ipsec
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
не работает ipsec
здравствуйте - прошу помощи решить проблему
есть основной роутер (не микротик) к нему подключен микротик (vm в proxmox) никакого фейрвола нет в проксмокс
есть ipsec туннель который я хочу передвинуть с основного роутера 192.168.1.1 на микротик 192.168.1.4
на 192.168.1.1 статический маршрут на 192.168.1.4 для сети 54.192.176.0/22
туннель работает но на клиенте ничего не открывается (192.168.1.8 и на всех клиентах в сети) но сайт пингуются от клиентов и траффик идет в туннель
подсеть
54.192.176.0/22 взял для примера это подсеть expressvpn просто то что можно открыть в браузере - не работает страница
есть основной роутер (не микротик) к нему подключен микротик (vm в proxmox) никакого фейрвола нет в проксмокс
есть ipsec туннель который я хочу передвинуть с основного роутера 192.168.1.1 на микротик 192.168.1.4
на 192.168.1.1 статический маршрут на 192.168.1.4 для сети 54.192.176.0/22
туннель работает но на клиенте ничего не открывается (192.168.1.8 и на всех клиентах в сети) но сайт пингуются от клиентов и траффик идет в туннель
подсеть
54.192.176.0/22 взял для примера это подсеть expressvpn просто то что можно открыть в браузере - не работает страница
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Последний раз редактировалось nevolex 28 янв 2023, 06:14, всего редактировалось 6 раз.
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: не работаем ipsec
и еще скриншоты
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: не работает ipsec
Здравствуйте. Уменьшать MSS пробовали правилом Firewall Mangle?
З.Ы. "TTL exceeded in transit" как будто на петлю какую-то похоже...
З.Ы. "TTL exceeded in transit" как будто на петлю какую-то похоже...
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: не работает ipsec
здравствуйте на фейрволе вообще нет никаких правил
тоже думаю что похоже на петлю так как маршрут по умолчанию для 192.168.1.4 это 192.168.1.1
непонятно
ps а как настроить Mangle для моего случая?
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: не работает ipsec
[admin@MikroTik] /ip/firewall/mangle> print
Flags: X - disabled, I - invalid; D - dynamic
0 chain=forward action=change-mss new-mss=1100 passthrough=yes
tcp-flags=syn protocol=tcp out-interface=Upstream-Link
tcp-mss=1301-65535 log=no log-prefix=""
настроил так, но по-прежнему не открывается
Flags: X - disabled, I - invalid; D - dynamic
0 chain=forward action=change-mss new-mss=1100 passthrough=yes
tcp-flags=syn protocol=tcp out-interface=Upstream-Link
tcp-mss=1301-65535 log=no log-prefix=""
настроил так, но по-прежнему не открывается
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Последний раз редактировалось nevolex 28 янв 2023, 06:15, всего редактировалось 1 раз.
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: не работает ipsec
А есть возможность трассировку со стороны сервера сделать?
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: не работает ipsec
Это IP-адрес Cloudflare, вряд ли он с вами будет IPSec поднимать
Я что-то перечитал - и не понял, зачем у 1.1 маршрут к 54.192.176.0/22 через 1.4... Что именно вы хотите реализовать?
Я что-то перечитал - и не понял, зачем у 1.1 маршрут к 54.192.176.0/22 через 1.4... Что именно вы хотите реализовать?
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: не работает ipsec
хочу перенести ipsec на mikrotik который 192.168.1.4 с телтоники, который 192.168.1.1
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: не работает ipsec
И вы хотите, чтобы от 1.1 к 54.192.176.0/22 трафик шёл через 1.4, где бы он заворачивался в ipsec-тоннель?..
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: не работает ipsec
А если у клиента (1.8) шлюзом прописать 1.4 - та же картина?
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: не работает ipsec
о, так кстати все работает, если шлюз у клиента 192.168.1.4
значит проблема действительно в петле
временно удалил статический маршрут к 54.192.176.0/22 через 192.168.1.4 с 192.168.1.1, трафик идет как и должен в туннель с 192.168.1.4 (это и ожидаемо) так же открываются и другие сайты значит остальной трафик идет по умолчанию от 192.168.1.4 к 192.168.1.1 так как 192.168.1.4 dchp клиент 192.168.1.1 и микротик маршрутизирует как и должен и в туннель и в обход
вопрос только как это все дело пофиксить без бубна, я могу конечно 192.168.1.4 через dchp
опцию распространить клиентам с телтоники, но хотелось бы что бы оставался 192.168.1.1
Последний раз редактировалось nevolex 28 янв 2023, 06:19, всего редактировалось 4 раза.
-
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: не работает ipsec
здравствуйте, проблема решена, спасибо за совет и была связана с телтоникой...что ожидаемо учитывая какое это уг, отключил drop invalid packets
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: не работает ipsec
Ну, тут как раз она себя нормально повела с её настройками Рад, что всё решилось. Я, честно говоря, думал, что проблема была в NAT'е на Телтонике. Не угадал =)