не работает ipsec
не работает ipsec
здравствуйте - прошу помощи решить проблему
есть основной роутер (не микротик) к нему подключен микротик (vm в proxmox) никакого фейрвола нет в проксмокс
есть ipsec туннель который я хочу передвинуть с основного роутера 192.168.1.1 на микротик 192.168.1.4
на 192.168.1.1 статический маршрут на 192.168.1.4 для сети 54.192.176.0/22
туннель работает но на клиенте ничего не открывается (192.168.1.8 и на всех клиентах в сети) но сайт пингуются от клиентов и траффик идет в туннель
подсеть
54.192.176.0/22 взял для примера это подсеть expressvpn просто то что можно открыть в браузере - не работает страница
есть основной роутер (не микротик) к нему подключен микротик (vm в proxmox) никакого фейрвола нет в проксмокс
есть ipsec туннель который я хочу передвинуть с основного роутера 192.168.1.1 на микротик 192.168.1.4
на 192.168.1.1 статический маршрут на 192.168.1.4 для сети 54.192.176.0/22
туннель работает но на клиенте ничего не открывается (192.168.1.8 и на всех клиентах в сети) но сайт пингуются от клиентов и траффик идет в туннель
подсеть
54.192.176.0/22 взял для примера это подсеть expressvpn просто то что можно открыть в браузере - не работает страница
- Вложения
-
- ipsec.png (15.91 КБ) 1000 просмотров
-
- file.png (88.88 КБ) 1009 просмотров
-
- file2.png (23.71 КБ) 1009 просмотров
Последний раз редактировалось nevolex 28 янв 2023, 06:14, всего редактировалось 6 раз.
Re: не работаем ipsec
и еще скриншоты
- Вложения
-
- pcappp2.png (83.14 КБ) 1001 просмотр
-
- pcappp.png (146.04 КБ) 1005 просмотров
Re: не работает ipsec
Здравствуйте. Уменьшать MSS пробовали правилом Firewall Mangle?
З.Ы. "TTL exceeded in transit" как будто на петлю какую-то похоже...
З.Ы. "TTL exceeded in transit" как будто на петлю какую-то похоже...
Re: не работает ipsec
здравствуйте на фейрволе вообще нет никаких правил
тоже думаю что похоже на петлю так как маршрут по умолчанию для 192.168.1.4 это 192.168.1.1
непонятно
ps а как настроить Mangle для моего случая?
Re: не работает ipsec
[admin@MikroTik] /ip/firewall/mangle> print
Flags: X - disabled, I - invalid; D - dynamic
0 chain=forward action=change-mss new-mss=1100 passthrough=yes
tcp-flags=syn protocol=tcp out-interface=Upstream-Link
tcp-mss=1301-65535 log=no log-prefix=""
настроил так, но по-прежнему не открывается
Flags: X - disabled, I - invalid; D - dynamic
0 chain=forward action=change-mss new-mss=1100 passthrough=yes
tcp-flags=syn protocol=tcp out-interface=Upstream-Link
tcp-mss=1301-65535 log=no log-prefix=""
настроил так, но по-прежнему не открывается
- Вложения
-
- pcappp3333.png (149.12 КБ) 990 просмотров
Последний раз редактировалось nevolex 28 янв 2023, 06:15, всего редактировалось 1 раз.
Re: не работает ipsec
А есть возможность трассировку со стороны сервера сделать?
Re: не работает ipsec
Это IP-адрес Cloudflare, вряд ли он с вами будет IPSec поднимать
Я что-то перечитал - и не понял, зачем у 1.1 маршрут к 54.192.176.0/22 через 1.4... Что именно вы хотите реализовать?
Я что-то перечитал - и не понял, зачем у 1.1 маршрут к 54.192.176.0/22 через 1.4... Что именно вы хотите реализовать?
Re: не работает ipsec
хочу перенести ipsec на mikrotik который 192.168.1.4 с телтоники, который 192.168.1.1
Re: не работает ipsec
И вы хотите, чтобы от 1.1 к 54.192.176.0/22 трафик шёл через 1.4, где бы он заворачивался в ipsec-тоннель?..
Re: не работает ipsec
А если у клиента (1.8) шлюзом прописать 1.4 - та же картина?
Re: не работает ipsec
о, так кстати все работает, если шлюз у клиента 192.168.1.4
значит проблема действительно в петле
временно удалил статический маршрут к 54.192.176.0/22 через 192.168.1.4 с 192.168.1.1, трафик идет как и должен в туннель с 192.168.1.4 (это и ожидаемо) так же открываются и другие сайты значит остальной трафик идет по умолчанию от 192.168.1.4 к 192.168.1.1 так как 192.168.1.4 dchp клиент 192.168.1.1 и микротик маршрутизирует как и должен и в туннель и в обход
вопрос только как это все дело пофиксить без бубна, я могу конечно 192.168.1.4 через dchp
опцию распространить клиентам с телтоники, но хотелось бы что бы оставался 192.168.1.1
Последний раз редактировалось nevolex 28 янв 2023, 06:19, всего редактировалось 4 раза.
Re: не работает ipsec
здравствуйте, проблема решена, спасибо за совет и была связана с телтоникой...что ожидаемо учитывая какое это уг, отключил drop invalid packets
- Вложения
-
- teltokina.png (15.2 КБ) 961 просмотр
Re: не работает ipsec
Ну, тут как раз она себя нормально повела с её настройками Рад, что всё решилось. Я, честно говоря, думал, что проблема была в NAT'е на Телтонике. Не угадал =)