помогите с настройкой ipsec

RIP, OSFP, BGP, MPLS/VPLS
Palamar
Сообщения: 8
Зарегистрирован: 07 июн 2018, 16:31

помогите с настройкой ipsec

Сообщение Palamar » 07 июн 2018, 16:31

Пытаюсь поднять тунель между микротиком и fortigate.
Туннель вроде поднялся,но между сетями ничего не пингуется.
В fortigate прописал маршрут в локалку микротика,а вот как на микротике это сделать не могу понять.Подскажите где прописать маршрут в локалку фортигейта?

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: помогите с настройкой ipsec

Сообщение Chupaka » 07 июн 2018, 16:59

Настройки покажите :)

"Маршрут" не нужен, IPSec Policies говорят, какой трафик "хватать" и инкапсулировать в IPSec.

Palamar
Сообщения: 8
Зарегистрирован: 07 июн 2018, 16:31

Re: помогите с настройкой ipsec

Сообщение Palamar » 07 июн 2018, 17:13

какие именно настройки показать?
1.png
1.png (47.83 КБ) 384 просмотра
2.png
2.png (51.96 КБ) 384 просмотра
3.png
3.png (41.42 КБ) 384 просмотра

Palamar
Сообщения: 8
Зарегистрирован: 07 июн 2018, 16:31

Re: помогите с настройкой ipsec

Сообщение Palamar » 07 июн 2018, 17:16

+
Вложения
6.png
6.png (39.36 КБ) 383 просмотра
5.png
5.png (47.06 КБ) 383 просмотра
4.png
4.png (49.43 КБ) 383 просмотра

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: помогите с настройкой ipsec

Сообщение Chupaka » 07 июн 2018, 17:39

Palamar писал(а):
07 июн 2018, 17:13
какие именно настройки показать?
IPSec для начала :)

В Терминале сделать

Код: Выделить всё

/ip ipsec export
и результат скопировать сюда (чтобы не скакать сайгаком по трём экранам картинок).

Ну и неплохо бы упомянуть, что именно не работает.

Palamar
Сообщения: 8
Зарегистрирован: 07 июн 2018, 16:31

Re: помогите с настройкой ipsec

Сообщение Palamar » 07 июн 2018, 18:40

Код: Выделить всё

[[email protected]] > /ip ipsec export 
# jun/07/2018 18:39:04 by RouterOS 6.42.2
# software id = 6YUD-3A1Y
#
# model = 951Ui-2HnD
# serial number = 815707E1B1D7
/ip ipsec proposal
add enc-algorithms=3des lifetime=1d name=proposal1 pfs-group=modp1536
/ip ipsec peer
add address=134.249.171.8/32 dh-group=modp1536 enc-algorithm=3des secret=\
    123456789
/ip ipsec policy
add dst-address=10.10.10.0/24 proposal=proposal1 sa-dst-address=134.249.171.8 \
    sa-src-address=212.87.169.78 src-address=10.1.1.0/24 tunnel=yes

Palamar
Сообщения: 8
Зарегистрирован: 07 июн 2018, 16:31

Re: помогите с настройкой ipsec

Сообщение Palamar » 07 июн 2018, 18:41

туннель поднялся но сети между собой не доступны.

Palamar
Сообщения: 8
Зарегистрирован: 07 июн 2018, 16:31

Re: помогите с настройкой ipsec

Сообщение Palamar » 07 июн 2018, 22:48

с локалки которая за fortigate,сеть которая за микротиком пингуется
А вот со стороны микротика к сожалению не так всё хорошо.
Вложения
1.png
1.png (129.82 КБ) 376 просмотров
2.png
2.png (103.95 КБ) 376 просмотров

Palamar
Сообщения: 8
Зарегистрирован: 07 июн 2018, 16:31

Re: помогите с настройкой ipsec

Сообщение Palamar » 08 июн 2018, 10:30

есть у кого-то предложения?

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: помогите с настройкой ipsec

Сообщение Chupaka » 08 июн 2018, 11:28

Кто такой 212.79.122.3? 10.1.1.1 - это "сеть за микротиком" или сам микротик? Схема адресации до сих пор неизвестна. Что хотя бы в файрволе на микротике творится - тоже.

Могу ещё предположить, что правило NAT с Accept должно быть в цепочке srcnat, а не dstnat, и первым, а не вторым.

Ответить