Доброго дня!
Прошу помощи у уважаемых форумчан.
Сделал небольшой лабораторный стенд из двух ноутов и двух микротиков. Соединил у микротиков два порта проводами .. - одно подключение имитирует WAN, другое LAN. Поднимаю IP туннель между ними - все работает, как только настраиваю IPsec шифрование туннель падает, виртуальные адреса туннеля перестают видеть друг друга.
Благодарю за помощь
Проблема с IPsec шифрованием
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Проблема с IPsec шифрованием
Доброго.
Помогаю: слева кнопка Terminal, там ввести
Результат сюда скопировать под тег [code][/code]
IP-тоннель - это IPIP-тоннель? IPSec поднимается нормально? В Installed SAs обе записи есть?
Помогаю: слева кнопка Terminal, там ввести
Код: Выделить всё
/export hide-sensitiveIP-тоннель - это IPIP-тоннель? IPSec поднимается нормально? В Installed SAs обе записи есть?
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
результат команды /export hide-sensitive одного из роутеров, второй настроен ао такомуже сценарию только ип адреса зеркально назначен
Поднимаю туннель, который на вкладке Interface называется IP Tunnek
Код: Выделить всё
# jan/02/1970 00:21:53 by RouterOS 6.44.3
# software id = LUTH-M5LI
#
# model = 2011iL
# serial number = 7DCF0797D533
/interface ethernet
set [ find default-name=ether3 ] name=ether-LAN
set [ find default-name=ether1 ] name=ether-WAN
/interface ipip
add local-address=192.168.13.1 name=test remote-address=192.168.13.197
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=192.168.13.197/32 name=peer1
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-128 hash-algorithm=md5 name=\
profile1
/ip address
add address=192.168.13.1/24 interface=ether-WAN network=192.168.13.0
add address=10.20.1.0/24 interface=ether-WAN network=10.20.1.0
add address=172.25.24.1/24 interface=test network=172.25.24.0
/ip ipsec identity
add peer=peer1
/ip ipsec policy
add disabled=yes dst-address=192.168.13.197/32 sa-dst-address=\
192.168.13.197 sa-src-address=192.168.13.1 src-address=\
192.168.13.1/32 tunnel=yes
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Проблема с IPsec шифрованием
Вам, подозреваю, нужен tunnel=no в ipsec policy, но я в целом рекомендую просто в свойствах IP-тоннеля указать IPSec Secret - шифрование тоннеля включится автомагически 
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
второй роутер
Код: Выделить всё
# jan/02/1970 00:51:23 by RouterOS 6.44.3
# software id = BR3R-TRSI
#
# model = 1100AHx2
# serial number = 573204FD7A73
/interface ethernet
set [ find default-name=ether3 ] name=ether-LAN
set [ find default-name=ether1 ] name=ether-WAN
/interface ipip
add local-address=192.168.13.197 name=test remote-address=192.168.13.1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=192.168.13.197/32 local-address=192.168.13.1 name=peer1
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 name=profile1
/ip ipsec proposal
add enc-algorithms=3des name=proposal1 pfs-group=none
/ip address
add address=192.168.13.197/24 interface=ether-WAN network=192.168.13.0
add address=10.30.1.0/24 interface=ether-LAN network=10.30.1.0
add address=172.25.24.2 interface=test network=172.25.24.2
/ip ipsec identity
add peer=peer1
/ip ipsec policy
add disabled=yes dst-address=192.168.13.1/32 sa-dst-address=192.168.13.1 sa-src-address=192.168.13.197 src-address=\
192.168.13.197/32 tunnel=yes
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Проблема с IPsec шифрованием
Сообщение моё видели?
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
Да видел, благодарю
Но что то не нахожу tunnel=no в ipsec policy. Есть только возможность поставить галочку напротив Tunnel
Но что то не нахожу tunnel=no в ipsec policy. Есть только возможность поставить галочку напротив Tunnel
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
tunnel=no в ipsec policy было из того что строка была отключена. Включил - все равно не работает
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
Сорри ошибся, даже с включенной строкой tunnel=no .. - не могу найти его в графическом интерфейсе .. может подскажете?
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
Включил тоннели, но все равно не работает .. вот конфа толого что tunnel=yes
Код: Выделить всё
ip address
add address=192.168.13.1/24 interface=ether-WAN network=192.168.13.0
add address=10.20.1.0/24 interface=ether-WAN network=10.20.1.0
add address=172.25.24.1/24 interface=test network=172.25.24.0
/ip ipsec identity
add peer=peer1
/ip ipsec policy
add dst-address=192.168.13.197/32 sa-dst-address=192.168.13.197 \
sa-src-address=192.168.13.1 src-address=192.168.13.1/32 tunnel=yes
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Проблема с IPsec шифрованием
У вас всегда и было tunnel=yes, посмотрите свои прошлые конфиги. Удалите это и задайте IPSec Secret на самом тоннеле.
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
IPSec Secret тоже не могу найти .. есть только pre shared key
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
Сорри, не туда зашел )
-
Gror
- Сообщения: 12
- Зарегистрирован: 17 май 2019, 17:35
Re: Проблема с IPsec шифрованием
Премного Вам благодарен ) тоннель поднялся )