Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: TomasP 11. 01. 2014, 00:15:43
-
Dobrý den všem,
chtěl bych poprosit o radu, mám 2 mikrotiky a moje situace je:
MKT1 : veřejná IP na routeru ISP - NAT - MUJ MKT - moje sit 1
MKT2 : veřejná IP na routeru ISP - NAT - MUJ MKT - moje sit 2
Vše jsem nastavil dle:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Site_to_Site_IpSec_Tunnel (část SITE TO SITE TUNEL)
Pokud kliknu na REMOTE PEERS vidím Established a čas, local IP je u obou ale ta co mi dává NAT od ISP a né veřejná.
Pro test jsem udělal i MKT3 a tam je veřejná IP přímo na ETH1 a i tak stejný problém, jen "local IP" je moje veřejka.
Firewall jsem zkoušel i vypnout a beze změny.
Problém je v tom, že se prostě nedopingám - proč?
Díky!
-
Problém je v tom, že se prostě nedopingám - proč?
Odkud kam?
-
Z jedné lokální sítě do druhé (ze 192.168.99.0/24 do 192.168.88.0/24) . Nějak mi tam nesedí ta LOCAL IP co je za natem (10.0.0.1 a 10.0.1.1) když to nemám za natem, je tam přímo např. 89.176.134.181
-
Obávám se, že bez namalování sítě včetně těch IP adres asi zůstane problém nepochopen. Co je 10.0.0.1 a 10.0.1.1???
-
OK nakreslil jsem to:
https://dl.dropboxusercontent.com/u/14556610/ipsec.jpeg
Lepší?
-
Nerozumím tomu, k čemu je tam jako dobrej ten dvojitej NAT.
Jinak:
1/ Všechny porty směrovány znamená co? Ten router umí IPSec passthrough? ESP/AH/IKE.
2/ Viz http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#NAT_Bypass
-
Dvojitej nat - nemám přístup do zařízení ISP a je to "no name" krabička - všechny porty směrovány - vše co dojde na router ISP jde přímo na druhy (muj) router, bez jakéhokoliv firewallu atd. to si řeším až já.
Jde o : RB751U-2HnD a RB951G-2HnD ty by to měly podporovat.
-
Jde o : RB751U-2HnD a RB951G-2HnD ty by to měly podporovat.
No ale já se ptám na ten router od ISP... IP protokol 50/51 (ESP/AH) není port!
-
Aha, tak to nevím, jedno je též mikrotik, druhé je nějaký Zcomax a testoval jsem to ještě za nějakým modemem, ale to neznám výrobce. Sem netušil, že veškeré zařízení po cestě musí tento protokol podporovat.... Je mi ale divné, že to píše Estabilished:
https://dl.dropboxusercontent.com/u/14556610/site1.JPG
https://dl.dropboxusercontent.com/u/14556610/site2.JPG
Tohle jsou screeny ze situace, kdy jeden JE za natem dle obrázku a druhý je za modemem (UPC), to samé to ale dělá i když jsou oba za NATem.
Ještě komplet testovací nastavení:
https://dl.dropboxusercontent.com/u/14556610/site1-1.JPG
https://dl.dropboxusercontent.com/u/14556610/site2-2.JPG
-
Nějak tomu rozumím čím dál tím míň. Kde jsou nějaký Phase2 nastavení? Bez nich to samozřejmě nebude nikdy fungovat!
-
Phase2 nastavení jsou "všude: IPSEC PROTOCOL: esp, MODE: tunel , AUTH METOD: pre-shared key, DH GROUP: modp 1024, LIFETIME: 1d viz screeny kompletního nastavení. Nebo si to pletu a je potřeba něco nějak jinak?
-
víš, ono ti to může psát estabilished, ale když máš blbě subnety, tak se prostě nikam nedostaneš :)
dle obrázku https://dl.dropboxusercontent.com/u/14556610/ipsec.jpeg nikde síť 10.13.1.0/24 nemáš a přesto jí máš v IPsec policy.. proč?
tady je export meho (funkcniho) nastaveni
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc,aes-256-cbc lifetime=1h pfs-group=none
add auth-algorithms=md5,sha1 enc-algorithms=3des name=site pfs-group=none
/ip ipsec peer
add address=<WAN_ADRESA_DRUHE_STRANY>/32 enc-algorithm=3des hash-algorithm=md5 nat-traversal=yes secret=<mojesupertajnyheslo>
/ip ipsec policy
add dst-address=<INTERNI_SUBNET_DRUHE_STRANY>/24 proposal=site sa-dst-address=<WAN_ADRESA_DRUHE_STRANY> sa-src-address=<MOJE_WAN_ADRESA> src-address=<MUJ_INTERNI_SUBNET>/24 tunnel=yes
-
dle obrázku https://dl.dropboxusercontent.com/u/14556610/ipsec.jpeg nikde síť 10.13.1.0/24 nemáš a přesto jí máš v IPsec policy.. proč?
Ostatně 192.168.99.0/24 tam taky nikde nevidím.
Phase2 nastavení jsou "všude: IPSEC PROTOCOL: esp, MODE: tunel , AUTH METOD: pre-shared key, DH GROUP: modp 1024, LIFETIME: 1d viz screeny kompletního nastavení. Nebo si to pletu a je potřeba něco nějak jinak?
Ono je dost obtížně pochopitelné, že se to vztahuje k Phase2, z toho screenshotu.
-
dunno: prvně jsem to chtěl vysvětlit na této modelové topologii, která BUDE, nakonec jsme se dostali až do fáze, kdy jsem to celé znovu naklikal na 2 zařízeních, ke kterým jsem měl přístup, tzn. původní obrázek nesedí IP interního subnetu.
Tak jsem použil ten skript od tebe a pořád Estabilished, ale komunikace NIC ping - timeout, firewall vypnut, muj export:
/ip ipsec proposal
add auth-algorithms=md5,sha1 name=site pfs-group=none
/ip ipsec peer
add address=193.85.172.1XX/32 nat-traversal=yes secret=<mojesupertajnyheslo>
/ip ipsec policy
add dst-address=10.13.1.0/24 proposal=site sa-dst-address=193.85.172.1XX \
sa-src-address=89.176.134.1XX src-address=192.168.99.0/24 tunnel=yes
Zkusil jsem pustit TORCH a vypadá to, že se o "něco" snaží:
https://dl.dropboxusercontent.com/u/14556610/torch-1.JPG
https://dl.dropboxusercontent.com/u/14556610/torch-2.JPG
V NATu mám dle manuálu:
/ip firewall nat
add chain=srcnat action=accept place-before=0 \
src-address= MUJ SUBNET /24 dst-address=REMOTE SUBNET/24
povololení/zakázání nemá vliv
Nedalo mi to a zkusil jsem to ještě na jednom mikrotiku, který je přímo na veřejné IP a též NIC - estabilished, pokud ale spustím TORCH tak mi sem tam napíše protokol 50 IPSEC v té chvíli mi PING píše NET UNREACHABLE jinak samý timeout...
-
Lol Phirae: 192.168.99.0/24 je cela sit a je to v tom mráčku sítě, IP co jsou u zařízení = ip na rozhraní
Ano je to těžko pochopitelné, ale takto to prostě v MikroTiku je ... :)
-
No, chtělo by to nějaký debug log, tohle je jak věštění z koule.
-
Debug log, jaký na MikroTiku?
Jediné co mě napadlo je odchyt paketů a to je zde:
https://dl.dropboxusercontent.com/u/14556610/snif.JPG
https://dl.dropboxusercontent.com/u/14556610/snif2.JPG
Mě se zdá, že to prostě nebalí pakety do správných hlaviček a do internetu to jde s IP místo vzdálené veřejky tak s privátkou. Nikde totiž ani nevidím něco jako ROUTE - do sítě 10.13.1.0/24 jdi via IPSEC1 ach jo, zlatý Juniper, tam vše šlapalo napoprvé.
-
Na Mikrotiku nevím. Normální IPSec démon (strongswan, racoon) má debug režim a log podrobný jako prase.
-
odchytávání paketů neni moc rozumný, doporučuju zapnout ten log :)
/system logging add topics=ipsec action=memory disabled=no
a pak už jen
/log print
btw to pravidlo v NATu máš na obou stranách předpokládám a správně? routy tam neřešíš, ani nepřidáváš, od toho je policy, kde se říká, jaký sítě máš mít propojený
-
Dunno - díky! Tak log je zde:
http://pastebin.com/erHPANeF
V roteru 1 sem našel hlášku:
17:20:16 ipsec,debug couldn't find configuration.
Jen nevím, co mu chybí to z toho nejsem schopný vyčíst.
-
Z logu to vypadá, že se ti tunel navázal a funguje… máš správně nastavený routing na ty tunelované sítě?
-
jakou máš verzi ROS? někde jsem objevil, že po upgrade na novější verzi tenhle problém zmizel. Já to provozuju na 6.7
-
A propos, už jsi zkusil něco jinýho než ping? Speciálně s Windows a jejich dementním nastavením firewallu je testování pingem na dvě věci.
-
koukal jsem na to ještě trochu dýl a mam pocit, že na R1 máš špatně šifrování, který se má použít. Opravdu je konfigurace na obou routerech identická? Já když sem si s timhle hrál, tak vim že po různých změnách to většinou odnesla jedna strana, která měla něco nastaveno jinak. Udělej si exporty ipsecu a porovnej je, měly by se akorát měnit src a dst položky.
btw ping je bezva věc na tohle, ale musíš ho dělat z routeru nejlépe, kde napíšeš něco jako ping <kam> src-add=<spravna_zdrojova_ip> a takhle se to dá testovat, pak to děláš z tý sítě, kde můžou bejt i jiný problémy, proto je to dobrý dělat nejdříve ze zdroje(routeru)
-
Tak jsem provedl upgrade obou MKT na 6.7, byla tam 6.5 a nic
Zkouším PING - router - router, PC - PC , PC-ROUTER, RDP do vzdálené sítě
Veškerá nastavení jsou stejná.
Zkoušel jsem i vypnout maškarádu a i tam nic. A pravidlo SRC nat mám jako první.
-
musis v natu zakazat natovani vnitrnich rozsahu, pak jdou packety tunelem a ne natem do public
-
tady by si mohl najít taky zajímavý věci o spojení
/ip ipsec installed-sa print a dal sem si trochu práce a tady je export konfigurace jak to mam já i s NATem http://pastebin.com/XLe4ShRt nic jiného by tam být potřeba nemělo
-
moutzl: provedu tím, že v maškarádě dám akorát !privatniIP do SRC adres je tak? Zkoušel jsem to ale i v DST a nic...
http://pastebin.com/acApAb3i
konfiguraci mám všude stejnou, ale pod příkazem : /ip ipsec installed-sa print mi to vypíše jen Flags: A - AH, E - ESP, P - pfs
žeby to byl ten problém?
-
no, to trochu problém je.. nevim co všechno si na tom exportu upravoval, ale asi máš špatně
/ip ipsec peertam dáváš adresu druhé strany...
-
fajn, tak jsem na to koukal blbě, vypadá to dobře a nebo jsem tam něco přehlídnul,
v installed SA jsou vlastně ty tunely/kanály co se vytvoří až jedna strana bude chtít do subnetu druhý, takže pokud si pingal z jedný strany na druhou, měl by si to tam mít
-
Už fakt nevím co víc zkusit, divný jsou ty timeouty ...
/ip ipsec installed-sa print
nevypíše nic ani při pingu, ane při pokusu u RDP spojení....
Pokud někoho něco napadne, budu rád, du to ještě zkusit proti routeru s OpenWRT na lokální sítí a uvidím, podle mě to nějak blbne s tím dvojitým natem....
-
Máš tam vůbec zapnutej NAT traversal? Jinak vidím, že Mikrotik opět nezklamal. ::)
-
v tomhle případě bych to na chybu Mikrotiku neviděl, IPsec tunelů na nich provozuju víc a neni s nima problém, akorát při větším trafficu to ty malý routery nedávaj, což mně ale nevadí. Spíš bych viděl problém někde v tom NATu 1:1
-
Velmi pravděpodobně zcela marný boj. Pokud je NAT na obou stranách, tka to funguje jen za vlemi specifických podmínek, které musí spolňovat ty krabičky dělající NAT. Takže není na tom špatně Mikrotik, v této konfiguraci se ti asi nechytne ani Cisco nebo Juniper...
Řešil bych otázku vyhodit aspoň na jedné straně ten NAT1:1 a veřejnou IP posunout až na ten Mikrotik, pak to pojede (ideálně stejného dosáhnout na obou koncích).
Jinak ten uveřejněný debug log je hodně podivný, vždyť ti tam naskakují zcela jiné IP, než máš používané v té konfiguraci? Např 77.240.179.145 se bere od čeho? Dále evidentně si to nevšimlo, na obou strnaách, že máš NAT v cestě?
A pokud to chceš stejně trápit, asi si budeš muset zapnout generování dynamických SA pro tento případ, protože to bude chtít používat ty neveřejné IP 10.0.0.2 a 10.0.1.2.
-
Zdravím,
tak jsem vyhodil jeden NAT a mírně změnil IP, ale to nemá vliv.
Rád bych ještě otevřel tuto diskusi, tunel mám navázaný, ale jak se píše výše - kde mohu zapnout generování dynamických SA? Když si je totiž zobrazím vidím na routeru s public ip SA správě - remote - local a naopak, ale pokud to udělám na routeru za NATem, vidím REMOTE jako OK, ale LOCAL vidím tu natovanou (vlasní IP na ETH1GW) .
Díky za rady, asi jsem konečně našel jádro problému :)
-
Na tom interfacu je treba nastavit ARP na Proxy-ARP ;)
-
Proboha to nemyslite vážně :-(
VPN site to site
by měla vždy fungovat tak , že mikrotik by měl mít veřenou IP.
Podle konfigurace usuzuji že používáte ADSL/VDSL router.
Nejlepší je nastavit mikrotik jako PPPoE clienta
ADSL router nastavit do rezimu bridge (mám vyzkoušeno Zyxel HW-660, Comptrend O2, VF) a tim ziská mikrotik veřejnou IP.
Provozuji takto několik VPN k maximální spokojenosti.
Případě dotazu na konfiguraci rad poradím.
-
aaa: díky, ale opět bez úspěchu
Benda: též to umím, ale tohle není ten případ, co bych za to dal... Tady je prostě ISP co má anténu a pak svůj mikrotik na kterém má nastavené IP telefony, atd... a mě posílá do mého MKT neveřejnou a údajně nemá možnost mi dát přímo IP kromě 1:1 natu, na druhé straně jsem jen vyhodil jeho router :D
Konfiguraci mám stejnou jak na WiKi a doma na testovací topo to jelo OK, tady ten NAT nebo něco dělá bordel.
Můžete mi hodit Vaši? Pro porovnání...
Díky!
-
Na tom interfacu je treba nastavit ARP na Proxy-ARP ;)
Tohle je u IPsec tunelu blbost. To se používá u PPP like tunelů (PPTP, L2TP, SSTP), kdy klient má mít IP adresu v stejném segmentu. jako ji má tá síťovka na které zpnete proxy ARP. Obča to proxy arp dokáže vyrábět dost divné věci. Tady nemá co dělat.
aaa: díky, ale opět bez úspěchu
Benda: též to umím, ale tohle není ten případ, co bych za to dal... Tady je prostě ISP co má anténu a pak svůj mikrotik na kterém má nastavené IP telefony, atd... a mě posílá do mého MKT neveřejnou a údajně nemá možnost mi dát přímo IP kromě 1:1 natu, na druhé straně jsem jen vyhodil jeho router :D
Konfiguraci mám stejnou jak na WiKi a doma na testovací topo to jelo OK, tady ten NAT nebo něco dělá bordel.
Můžete mi hodit Vaši? Pro porovnání...
Díky!
A zkoušel sis to na stole u sebe doma, dva mikrotiky mezi sebou, a v cestě měl jende NAT 1:1?
Jinak, že nejde dát veřejnou IP adresu a musí dělat NAT 1:1 je blbost na Ntou, je X způsoů, jak tu jednu veřejnoiu IP adresu dostat. Buď nechce, nebo neumí. Nejjednodušší u MK, že k tobě naroutuje jen tu jednu veřejnou IP s maskou /32. Ty si ji přidáš na WAN interface s maskou /32 paralelně vedle té současné neveřejné. U sebe zruší NAT, ty si jen ve svém routereu v routingu nastavíš u záznamu pro defualtní adresu položku preferred source na hodnotu té veřejné adresy a pojede ti to.
Zkusil bych se prvně domluvit na dopravení té veřejky k tobě, teprve když selže, tak bádat nad NAT-T v IPsecu.
-
Díky za rady, budu tedy muset řešit NAT-T, ale v tomto se nevyznám až tak jak bych sám chtěl, du tedy googlit, pokud má někdo nějaký tip, budu rád!
-
Všem díky za rady, nat-T jsem rozjel, ale zjistil jsem, že mám problém s ISP - nejen, že natuje mě, ale on si natuje i sám na svůj mikrotik, tzn. public IP je asi někde na anténě, ta dělá NAT na Mikrotik ISP a ten dělá další NAT pro mě a já si dělám dále další NAT s firemní sítí, tímto IPSEC nikdy neprojde.... Díky ještě jednou všem!
-
Nu, místo IPsec tunelu zkusit IPsec transport v kombinaci s L2TP, čili klasika L2TP/IPsec by přes to fungovat mohla.Ale je fakt, že jsme to nezkoušel z MK na MK. Pokud, tak z Windows klienta na MKčko.