не работает ipsec

RIP, OSFP, BGP, MPLS/VPLS
Ответить
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

не работает ipsec

Сообщение nevolex »

здравствуйте - прошу помощи решить проблему

есть основной роутер (не микротик) к нему подключен микротик (vm в proxmox) никакого фейрвола нет в проксмокс

есть ipsec туннель который я хочу передвинуть с основного роутера 192.168.1.1 на микротик 192.168.1.4

на 192.168.1.1 статический маршрут на 192.168.1.4 для сети 54.192.176.0/22

туннель работает но на клиенте ничего не открывается (192.168.1.8 и на всех клиентах в сети) но сайт пингуются от клиентов и траффик идет в туннель

подсеть
54.192.176.0/22 взял для примера это подсеть expressvpn просто то что можно открыть в браузере - не работает страница
Вложения
ipsec.png
ipsec.png (15.91 КБ) 1000 просмотров
file.png
file.png (88.88 КБ) 1009 просмотров
file2.png
file2.png (23.71 КБ) 1009 просмотров
Последний раз редактировалось nevolex 28 янв 2023, 06:14, всего редактировалось 6 раз.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: не работаем ipsec

Сообщение nevolex »

и еще скриншоты
Вложения
pcappp2.png
pcappp2.png (83.14 КБ) 1001 просмотр
pcappp.png
pcappp.png (146.04 КБ) 1005 просмотров
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: не работает ipsec

Сообщение Chupaka »

Здравствуйте. Уменьшать MSS пробовали правилом Firewall Mangle?

З.Ы. "TTL exceeded in transit" как будто на петлю какую-то похоже...
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: не работает ipsec

Сообщение nevolex »

Chupaka писал(а): 27 янв 2023, 00:54 Здравствуйте. Уменьшать MSS пробовали правилом Firewall Mangle?

З.Ы. "TTL exceeded in transit" как будто на петлю какую-то похоже...
здравствуйте на фейрволе вообще нет никаких правил :(

тоже думаю что похоже на петлю так как маршрут по умолчанию для 192.168.1.4 это 192.168.1.1

непонятно

ps а как настроить Mangle для моего случая?
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: не работает ipsec

Сообщение nevolex »

[admin@MikroTik] /ip/firewall/mangle> print
Flags: X - disabled, I - invalid; D - dynamic
0 chain=forward action=change-mss new-mss=1100 passthrough=yes
tcp-flags=syn protocol=tcp out-interface=Upstream-Link
tcp-mss=1301-65535 log=no log-prefix=""

настроил так, но по-прежнему не открывается
Вложения
pcappp3333.png
pcappp3333.png (149.12 КБ) 990 просмотров
Последний раз редактировалось nevolex 28 янв 2023, 06:15, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: не работает ipsec

Сообщение Chupaka »

А есть возможность трассировку со стороны сервера сделать?
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: не работает ipsec

Сообщение nevolex »

Chupaka писал(а): 27 янв 2023, 12:40 А есть возможность трассировку со стороны сервера сделать?
к сожалению нет, если хотите могу указать ip вашего сервера 104.21.3.173 и попробовать
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: не работает ipsec

Сообщение Chupaka »

Это IP-адрес Cloudflare, вряд ли он с вами будет IPSec поднимать :)

Я что-то перечитал - и не понял, зачем у 1.1 маршрут к 54.192.176.0/22 через 1.4... Что именно вы хотите реализовать?
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: не работает ipsec

Сообщение nevolex »

Chupaka писал(а): 27 янв 2023, 18:04 Это IP-адрес Cloudflare, вряд ли он с вами будет IPSec поднимать :)

Я что-то перечитал - и не понял, зачем у 1.1 маршрут к 54.192.176.0/22 через 1.4... Что именно вы хотите реализовать?
хочу перенести ipsec на mikrotik который 192.168.1.4 с телтоники, который 192.168.1.1
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: не работает ipsec

Сообщение Chupaka »

И вы хотите, чтобы от 1.1 к 54.192.176.0/22 трафик шёл через 1.4, где бы он заворачивался в ipsec-тоннель?..
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: не работает ipsec

Сообщение Chupaka »

А если у клиента (1.8) шлюзом прописать 1.4 - та же картина?
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: не работает ipsec

Сообщение nevolex »

Chupaka писал(а): 28 янв 2023, 02:24 И вы хотите, чтобы от 1.1 к 54.192.176.0/22 трафик шёл через 1.4, где бы он заворачивался в ipsec-тоннель?..

да все верно
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: не работает ipsec

Сообщение nevolex »

Chupaka писал(а): 28 янв 2023, 02:26 А если у клиента (1.8) шлюзом прописать 1.4 - та же картина?
о, так кстати все работает, если шлюз у клиента 192.168.1.4

значит проблема действительно в петле

временно удалил статический маршрут к 54.192.176.0/22 через 192.168.1.4 с 192.168.1.1, трафик идет как и должен в туннель с 192.168.1.4 (это и ожидаемо) так же открываются и другие сайты значит остальной трафик идет по умолчанию от 192.168.1.4 к 192.168.1.1 так как 192.168.1.4 dchp клиент 192.168.1.1 и микротик маршрутизирует как и должен и в туннель и в обход

вопрос только как это все дело пофиксить без бубна, я могу конечно 192.168.1.4 через dchp
опцию распространить клиентам с телтоники, но хотелось бы что бы оставался 192.168.1.1
Последний раз редактировалось nevolex 28 янв 2023, 06:19, всего редактировалось 4 раза.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: не работает ipsec

Сообщение nevolex »

здравствуйте, проблема решена, спасибо за совет и была связана с телтоникой...что ожидаемо учитывая какое это уг, отключил drop invalid packets
Вложения
teltokina.png
teltokina.png (15.2 КБ) 961 просмотр
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: не работает ipsec

Сообщение Chupaka »

Ну, тут как раз она себя нормально повела с её настройками :) Рад, что всё решилось. Я, честно говоря, думал, что проблема была в NAT'е на Телтонике. Не угадал =)
Ответить