MikroTik IPSEC

TomasP

MikroTik IPSEC
« kdy: 11. 01. 2014, 00:15:43 »
Dobrý den všem,
chtěl bych poprosit o radu, mám 2 mikrotiky a moje situace je:

MKT1 : veřejná IP na routeru ISP - NAT - MUJ MKT - moje sit 1
MKT2 : veřejná IP na routeru ISP - NAT - MUJ MKT - moje sit 2


Vše jsem nastavil dle:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Site_to_Site_IpSec_Tunnel  (část SITE TO SITE TUNEL)

Pokud kliknu na REMOTE PEERS vidím Established a čas, local IP je u obou ale ta co mi dává NAT od ISP a né veřejná.
Pro test jsem udělal i MKT3 a tam je veřejná IP přímo na ETH1 a i tak stejný problém, jen "local IP" je moje veřejka.
Firewall jsem zkoušel i vypnout a beze změny.

Problém je v tom, že se prostě nedopingám - proč?

Díky!


Lol Phirae

Re:MikroTik IPSEC
« Odpověď #1 kdy: 11. 01. 2014, 00:19:35 »
Problém je v tom, že se prostě nedopingám - proč?

Odkud kam?

TomasP

Re:MikroTik IPSEC
« Odpověď #2 kdy: 11. 01. 2014, 00:31:19 »
Z jedné lokální sítě do druhé (ze 192.168.99.0/24 do 192.168.88.0/24) . Nějak mi tam nesedí ta LOCAL IP co je za natem (10.0.0.1 a 10.0.1.1) když to nemám za natem, je tam přímo např. 89.176.134.181

Lol Phirae

Re:MikroTik IPSEC
« Odpověď #3 kdy: 11. 01. 2014, 00:38:09 »
Obávám se, že bez namalování sítě včetně těch IP adres asi zůstane problém nepochopen. Co je 10.0.0.1 a 10.0.1.1???

TomasP

Re:MikroTik IPSEC
« Odpověď #4 kdy: 11. 01. 2014, 00:45:49 »


Lol Phirae

Re:MikroTik IPSEC
« Odpověď #5 kdy: 11. 01. 2014, 01:01:58 »
Nerozumím tomu, k čemu je tam jako dobrej ten dvojitej NAT.

Jinak:
1/ Všechny porty směrovány znamená co? Ten router umí IPSec passthrough? ESP/AH/IKE.
2/ Viz http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#NAT_Bypass

TomasP

Re:MikroTik IPSEC
« Odpověď #6 kdy: 11. 01. 2014, 01:07:50 »
Dvojitej nat - nemám přístup do zařízení ISP a je to "no name" krabička - všechny porty směrovány - vše co dojde na router ISP jde přímo na druhy (muj) router, bez jakéhokoliv firewallu atd. to si řeším až já.

Jde o : RB751U-2HnD a RB951G-2HnD ty by to měly podporovat.

Lol Phirae

Re:MikroTik IPSEC
« Odpověď #7 kdy: 11. 01. 2014, 01:12:06 »
Jde o : RB751U-2HnD a RB951G-2HnD ty by to měly podporovat.

No ale já se ptám na ten router od ISP... IP protokol 50/51 (ESP/AH) není port!

TomasP

Re:MikroTik IPSEC
« Odpověď #8 kdy: 11. 01. 2014, 01:53:26 »
Aha, tak to nevím, jedno je též mikrotik, druhé je nějaký Zcomax a testoval jsem to ještě za nějakým modemem, ale to neznám výrobce. Sem netušil, že veškeré zařízení po cestě musí tento protokol podporovat.... Je mi ale divné, že to píše Estabilished:
https://dl.dropboxusercontent.com/u/14556610/site1.JPG
https://dl.dropboxusercontent.com/u/14556610/site2.JPG

Tohle jsou screeny ze situace, kdy jeden JE za natem dle obrázku a druhý je za modemem (UPC), to samé to ale dělá i když jsou oba za NATem.

Ještě komplet testovací nastavení:
https://dl.dropboxusercontent.com/u/14556610/site1-1.JPG
https://dl.dropboxusercontent.com/u/14556610/site2-2.JPG

Lol Phirae

Re:MikroTik IPSEC
« Odpověď #9 kdy: 11. 01. 2014, 01:56:40 »
Nějak tomu rozumím čím dál tím míň. Kde jsou nějaký Phase2 nastavení? Bez nich to samozřejmě nebude nikdy fungovat!

TomasP

Re:MikroTik IPSEC
« Odpověď #10 kdy: 11. 01. 2014, 02:19:21 »
Phase2 nastavení jsou "všude: IPSEC PROTOCOL: esp, MODE: tunel , AUTH METOD: pre-shared key, DH GROUP: modp 1024, LIFETIME: 1d  viz screeny kompletního nastavení. Nebo si to pletu a je potřeba něco nějak jinak?

dunno

Re:MikroTik IPSEC
« Odpověď #11 kdy: 11. 01. 2014, 02:22:39 »
víš, ono ti to může psát estabilished, ale když máš blbě subnety, tak se prostě nikam nedostaneš :)
dle obrázku https://dl.dropboxusercontent.com/u/14556610/ipsec.jpeg nikde síť 10.13.1.0/24 nemáš a přesto jí máš v IPsec policy..  proč?


tady je export meho (funkcniho) nastaveni
Kód: [Vybrat]
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc,aes-256-cbc lifetime=1h pfs-group=none
add auth-algorithms=md5,sha1 enc-algorithms=3des name=site pfs-group=none
/ip ipsec peer
add address=<WAN_ADRESA_DRUHE_STRANY>/32 enc-algorithm=3des hash-algorithm=md5 nat-traversal=yes secret=<mojesupertajnyheslo>
/ip ipsec policy
add dst-address=<INTERNI_SUBNET_DRUHE_STRANY>/24 proposal=site sa-dst-address=<WAN_ADRESA_DRUHE_STRANY> sa-src-address=<MOJE_WAN_ADRESA> src-address=<MUJ_INTERNI_SUBNET>/24 tunnel=yes

Lol Phirae

Re:MikroTik IPSEC
« Odpověď #12 kdy: 11. 01. 2014, 02:27:15 »
dle obrázku https://dl.dropboxusercontent.com/u/14556610/ipsec.jpeg nikde síť 10.13.1.0/24 nemáš a přesto jí máš v IPsec policy..  proč?

Ostatně 192.168.99.0/24 tam taky nikde nevidím.

Phase2 nastavení jsou "všude: IPSEC PROTOCOL: esp, MODE: tunel , AUTH METOD: pre-shared key, DH GROUP: modp 1024, LIFETIME: 1d  viz screeny kompletního nastavení. Nebo si to pletu a je potřeba něco nějak jinak?

Ono je dost obtížně pochopitelné, že se to vztahuje k Phase2, z toho screenshotu.

TomasP

Re:MikroTik IPSEC
« Odpověď #13 kdy: 11. 01. 2014, 03:21:35 »
dunno: prvně jsem to chtěl vysvětlit na této modelové topologii, která BUDE, nakonec jsme se dostali až do fáze, kdy jsem to celé znovu naklikal na 2 zařízeních, ke kterým jsem měl přístup, tzn. původní obrázek nesedí IP interního subnetu.

Tak jsem použil ten skript od tebe a pořád Estabilished, ale komunikace NIC ping - timeout, firewall vypnut, muj export:

/ip ipsec proposal
add auth-algorithms=md5,sha1 name=site pfs-group=none
/ip ipsec peer
add address=193.85.172.1XX/32 nat-traversal=yes secret=<mojesupertajnyheslo>
/ip ipsec policy
add dst-address=10.13.1.0/24 proposal=site sa-dst-address=193.85.172.1XX \
    sa-src-address=89.176.134.1XX src-address=192.168.99.0/24 tunnel=yes

Zkusil jsem pustit TORCH a vypadá to, že se o "něco" snaží:
https://dl.dropboxusercontent.com/u/14556610/torch-1.JPG
https://dl.dropboxusercontent.com/u/14556610/torch-2.JPG

V NATu mám dle manuálu:
/ip firewall nat
add chain=srcnat action=accept  place-before=0 \
 src-address= MUJ SUBNET /24 dst-address=REMOTE SUBNET/24

povololení/zakázání nemá vliv


Nedalo mi to a zkusil jsem to ještě na jednom mikrotiku, který je přímo na veřejné IP a též NIC - estabilished, pokud ale spustím TORCH tak mi sem tam napíše protokol 50 IPSEC v té chvíli mi PING píše NET UNREACHABLE jinak samý timeout...

TomasP

Re:MikroTik IPSEC
« Odpověď #14 kdy: 11. 01. 2014, 03:23:23 »
Lol Phirae: 192.168.99.0/24 je cela sit a je to v tom mráčku sítě, IP co jsou u zařízení = ip na rozhraní
Ano je to těžko pochopitelné, ale takto to prostě v MikroTiku je ... :)