MikroTik IPSEC

Lol Phirae

Re:MikroTik IPSEC
« Odpověď #15 kdy: 11. 01. 2014, 10:45:31 »
No, chtělo by to nějaký debug log, tohle je jak věštění z koule.


TomasP

Re:MikroTik IPSEC
« Odpověď #16 kdy: 11. 01. 2014, 14:08:39 »
Debug log, jaký na MikroTiku?
Jediné co mě napadlo je odchyt paketů a to je zde:
https://dl.dropboxusercontent.com/u/14556610/snif.JPG
https://dl.dropboxusercontent.com/u/14556610/snif2.JPG

Mě se zdá, že to prostě nebalí pakety do správných hlaviček a do internetu to jde s IP místo vzdálené veřejky tak s privátkou. Nikde totiž ani nevidím něco jako ROUTE - do sítě 10.13.1.0/24 jdi via IPSEC1 ach jo, zlatý Juniper, tam vše šlapalo napoprvé.

Lol Phirae

Re:MikroTik IPSEC
« Odpověď #17 kdy: 11. 01. 2014, 14:24:05 »
Na Mikrotiku nevím. Normální IPSec démon (strongswan, racoon) má debug režim a log podrobný jako prase.

dunno

Re:MikroTik IPSEC
« Odpověď #18 kdy: 11. 01. 2014, 16:53:07 »
odchytávání paketů neni moc rozumný, doporučuju zapnout ten log :)
Kód: [Vybrat]
/system logging add topics=ipsec action=memory disabled=no
a pak už jen
Kód: [Vybrat]
/log print
btw to pravidlo v NATu máš na obou stranách předpokládám a správně? routy tam neřešíš, ani nepřidáváš, od toho je policy, kde se říká, jaký sítě máš mít propojený

TomasP

Re:MikroTik IPSEC
« Odpověď #19 kdy: 11. 01. 2014, 17:31:13 »
Dunno - díky! Tak log je zde:
http://pastebin.com/erHPANeF

V roteru 1 sem našel hlášku:
17:20:16 ipsec,debug couldn't find configuration.

Jen nevím, co mu chybí to z toho nejsem schopný vyčíst.


Re:MikroTik IPSEC
« Odpověď #20 kdy: 11. 01. 2014, 18:02:13 »
Z logu to vypadá, že se ti tunel navázal a funguje… máš správně nastavený routing na ty tunelované sítě?

dunno

Re:MikroTik IPSEC
« Odpověď #21 kdy: 11. 01. 2014, 18:15:02 »
jakou máš verzi ROS? někde jsem objevil, že po upgrade na novější verzi tenhle problém zmizel. Já to provozuju na 6.7

Lol Phirae

Re:MikroTik IPSEC
« Odpověď #22 kdy: 11. 01. 2014, 18:18:32 »
A propos, už jsi zkusil něco jinýho než ping? Speciálně s Windows a jejich dementním nastavením firewallu je testování pingem na dvě věci.

dunno

Re:MikroTik IPSEC
« Odpověď #23 kdy: 11. 01. 2014, 18:30:11 »
koukal jsem na to ještě trochu dýl a mam pocit, že na R1 máš špatně šifrování, který se má použít. Opravdu je konfigurace na obou routerech identická? Já když sem si s timhle hrál, tak vim že po různých změnách to většinou odnesla jedna strana, která měla něco nastaveno jinak. Udělej si exporty ipsecu a porovnej je, měly by se akorát měnit src a dst položky.

btw ping je bezva věc na tohle, ale musíš ho dělat z routeru nejlépe, kde napíšeš něco jako ping <kam> src-add=<spravna_zdrojova_ip>   a takhle se to dá testovat, pak to děláš z tý sítě, kde můžou bejt i jiný problémy, proto je to dobrý dělat nejdříve ze zdroje(routeru)

TomasP

Re:MikroTik IPSEC
« Odpověď #24 kdy: 11. 01. 2014, 20:06:37 »
Tak jsem provedl upgrade obou MKT na 6.7, byla tam 6.5 a nic

Zkouším PING - router - router, PC - PC , PC-ROUTER, RDP do vzdálené sítě

Veškerá nastavení jsou stejná.

Zkoušel jsem i vypnout maškarádu a i tam nic. A pravidlo SRC nat mám jako první.

moutzl

Re:MikroTik IPSEC
« Odpověď #25 kdy: 11. 01. 2014, 20:36:33 »
musis v natu zakazat natovani vnitrnich rozsahu, pak jdou packety tunelem a ne natem do public

dunno

Re:MikroTik IPSEC
« Odpověď #26 kdy: 11. 01. 2014, 21:09:27 »
tady by si mohl najít taky zajímavý věci o spojení
Kód: [Vybrat]
/ip ipsec installed-sa print  a dal sem si trochu práce a tady je export konfigurace jak to mam já i s NATem  http://pastebin.com/XLe4ShRt nic jiného by tam být potřeba nemělo

TomasP

Re:MikroTik IPSEC
« Odpověď #27 kdy: 11. 01. 2014, 22:10:38 »
moutzl: provedu tím, že v maškarádě dám akorát !privatniIP do SRC adres je tak? Zkoušel jsem to ale i v DST a nic...

http://pastebin.com/acApAb3i

konfiguraci mám všude stejnou, ale pod příkazem : /ip ipsec installed-sa print mi to vypíše jen Flags: A - AH, E - ESP, P - pfs
žeby to byl ten problém?

dunno

Re:MikroTik IPSEC
« Odpověď #28 kdy: 12. 01. 2014, 00:10:35 »
no, to trochu problém je.. nevim co všechno si na tom exportu upravoval, ale asi máš špatně
Kód: [Vybrat]
/ip ipsec peertam dáváš adresu druhé strany...

dunno

Re:MikroTik IPSEC
« Odpověď #29 kdy: 12. 01. 2014, 00:30:34 »
fajn, tak jsem na to koukal blbě, vypadá to dobře a nebo jsem tam něco přehlídnul,
v installed SA jsou vlastně ty tunely/kanály co se vytvoří až jedna strana bude chtít do subnetu druhý, takže pokud si pingal z jedný strany na druhou, měl by si to tam mít