Проблема с IPsec шифрованием

RIP, OSFP, BGP, MPLS/VPLS
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Проблема с IPsec шифрованием

Сообщение Gror »

Доброго дня!

Прошу помощи у уважаемых форумчан.

Сделал небольшой лабораторный стенд из двух ноутов и двух микротиков. Соединил у микротиков два порта проводами .. - одно подключение имитирует WAN, другое LAN. Поднимаю IP туннель между ними - все работает, как только настраиваю IPsec шифрование туннель падает, виртуальные адреса туннеля перестают видеть друг друга.

Благодарю за помощь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проблема с IPsec шифрованием

Сообщение Chupaka »

Доброго.

Помогаю: слева кнопка Terminal, там ввести

Код: Выделить всё

/export hide-sensitive
Результат сюда скопировать под тег [code][/code]

IP-тоннель - это IPIP-тоннель? IPSec поднимается нормально? В Installed SAs обе записи есть?
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

результат команды /export hide-sensitive одного из роутеров, второй настроен ао такомуже сценарию только ип адреса зеркально назначен

Код: Выделить всё


# jan/02/1970 00:21:53 by RouterOS 6.44.3
# software id = LUTH-M5LI
#
# model = 2011iL
# serial number = 7DCF0797D533
/interface ethernet
set [ find default-name=ether3 ] name=ether-LAN
set [ find default-name=ether1 ] name=ether-WAN
/interface ipip
add local-address=192.168.13.1 name=test remote-address=192.168.13.197
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=192.168.13.197/32 name=peer1
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-128 hash-algorithm=md5 name=\
    profile1
/ip address
add address=192.168.13.1/24 interface=ether-WAN network=192.168.13.0
add address=10.20.1.0/24 interface=ether-WAN network=10.20.1.0
add address=172.25.24.1/24 interface=test network=172.25.24.0
/ip ipsec identity
add peer=peer1
/ip ipsec policy
add disabled=yes dst-address=192.168.13.197/32 sa-dst-address=\
    192.168.13.197 sa-src-address=192.168.13.1 src-address=\
    192.168.13.1/32 tunnel=yes

Поднимаю туннель, который на вкладке Interface называется IP Tunnek
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проблема с IPsec шифрованием

Сообщение Chupaka »

Вам, подозреваю, нужен tunnel=no в ipsec policy, но я в целом рекомендую просто в свойствах IP-тоннеля указать IPSec Secret - шифрование тоннеля включится автомагически :)
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

второй роутер

Код: Выделить всё



# jan/02/1970 00:51:23 by RouterOS 6.44.3
# software id = BR3R-TRSI
#
# model = 1100AHx2
# serial number = 573204FD7A73
/interface ethernet
set [ find default-name=ether3 ] name=ether-LAN
set [ find default-name=ether1 ] name=ether-WAN
/interface ipip
add local-address=192.168.13.197 name=test remote-address=192.168.13.1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=192.168.13.197/32 local-address=192.168.13.1 name=peer1
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 name=profile1
/ip ipsec proposal
add enc-algorithms=3des name=proposal1 pfs-group=none
/ip address
add address=192.168.13.197/24 interface=ether-WAN network=192.168.13.0
add address=10.30.1.0/24 interface=ether-LAN network=10.30.1.0
add address=172.25.24.2 interface=test network=172.25.24.2
/ip ipsec identity
add peer=peer1
/ip ipsec policy
add disabled=yes dst-address=192.168.13.1/32 sa-dst-address=192.168.13.1 sa-src-address=192.168.13.197 src-address=\
    192.168.13.197/32 tunnel=yes

Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проблема с IPsec шифрованием

Сообщение Chupaka »

Сообщение моё видели?
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

Да видел, благодарю
Но что то не нахожу tunnel=no в ipsec policy. Есть только возможность поставить галочку напротив Tunnel
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

tunnel=no в ipsec policy было из того что строка была отключена. Включил - все равно не работает
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

Сорри ошибся, даже с включенной строкой tunnel=no .. - не могу найти его в графическом интерфейсе .. может подскажете?
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

Включил тоннели, но все равно не работает .. вот конфа толого что tunnel=yes

Код: Выделить всё


ip address
add address=192.168.13.1/24 interface=ether-WAN network=192.168.13.0
add address=10.20.1.0/24 interface=ether-WAN network=10.20.1.0
add address=172.25.24.1/24 interface=test network=172.25.24.0
/ip ipsec identity
add peer=peer1
/ip ipsec policy
add dst-address=192.168.13.197/32 sa-dst-address=192.168.13.197 \
    sa-src-address=192.168.13.1 src-address=192.168.13.1/32 tunnel=yes
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проблема с IPsec шифрованием

Сообщение Chupaka »

У вас всегда и было tunnel=yes, посмотрите свои прошлые конфиги. Удалите это и задайте IPSec Secret на самом тоннеле.
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

IPSec Secret тоже не могу найти .. есть только pre shared key
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

Сорри, не туда зашел )
Gror
Сообщения: 12
Зарегистрирован: 17 май 2019, 17:35

Re: Проблема с IPsec шифрованием

Сообщение Gror »

Премного Вам благодарен ) тоннель поднялся )