MikroTik IPSEC

TomasP

Re:MikroTik IPSEC
« Odpověď #30 kdy: 12. 01. 2014, 00:54:18 »
Už fakt nevím co víc zkusit, divný jsou ty timeouty ...

/ip ipsec installed-sa print

nevypíše nic ani při pingu, ane při pokusu u RDP spojení....

Pokud někoho něco napadne, budu rád, du to ještě zkusit proti routeru s OpenWRT na lokální sítí a uvidím, podle mě to nějak blbne s tím dvojitým natem....


Lol Phirae

Re:MikroTik IPSEC
« Odpověď #31 kdy: 12. 01. 2014, 01:03:38 »
Máš tam vůbec zapnutej NAT traversal? Jinak vidím, že Mikrotik opět nezklamal.  ::)

dunno

Re:MikroTik IPSEC
« Odpověď #32 kdy: 12. 01. 2014, 14:50:21 »
v tomhle případě bych to na chybu Mikrotiku neviděl, IPsec tunelů na nich provozuju víc a neni s nima problém, akorát při větším trafficu to ty malý routery nedávaj, což mně ale nevadí. Spíš bych viděl problém někde v tom NATu 1:1

M.

Re:MikroTik IPSEC
« Odpověď #33 kdy: 12. 01. 2014, 19:03:27 »
Velmi pravděpodobně zcela marný boj. Pokud je NAT na obou stranách, tka to funguje jen za vlemi specifických podmínek, které musí spolňovat ty krabičky dělající NAT. Takže není na tom špatně Mikrotik, v této konfiguraci se ti asi nechytne ani Cisco nebo Juniper...
Řešil bych otázku vyhodit aspoň na jedné straně ten NAT1:1 a veřejnou IP posunout až na ten Mikrotik, pak to pojede (ideálně stejného dosáhnout na obou koncích).

Jinak ten uveřejněný debug log je hodně podivný, vždyť ti tam naskakují zcela jiné IP, než máš používané v té konfiguraci? Např 77.240.179.145 se bere od čeho? Dále evidentně si to nevšimlo, na obou strnaách, že máš NAT v cestě?

A pokud to chceš stejně trápit, asi si budeš muset zapnout generování dynamických SA pro tento případ, protože to  bude chtít používat ty neveřejné IP 10.0.0.2 a 10.0.1.2.

TomasP

Re:MikroTik IPSEC
« Odpověď #34 kdy: 30. 01. 2014, 11:47:08 »
Zdravím,
tak jsem vyhodil jeden NAT a mírně změnil IP, ale to nemá vliv.
Rád bych ještě otevřel tuto diskusi, tunel mám navázaný, ale jak se píše výše - kde mohu zapnout generování dynamických SA? Když si je totiž zobrazím vidím na routeru s public ip SA správě - remote - local a naopak, ale pokud to udělám na routeru za NATem, vidím REMOTE jako OK, ale LOCAL vidím tu natovanou (vlasní IP na ETH1GW) .

Díky za rady, asi jsem konečně našel jádro problému :)


aaa

Re:MikroTik IPSEC
« Odpověď #35 kdy: 30. 01. 2014, 12:05:35 »
Na tom interfacu je treba nastavit ARP na Proxy-ARP  ;)

Benda

Re:MikroTik IPSEC
« Odpověď #36 kdy: 30. 01. 2014, 12:33:09 »
Proboha to nemyslite vážně :-(
VPN site to site
by měla vždy fungovat tak , že mikrotik by měl mít veřenou IP.
Podle konfigurace usuzuji že používáte ADSL/VDSL router.
Nejlepší je nastavit mikrotik jako PPPoE clienta
ADSL router nastavit do rezimu bridge (mám vyzkoušeno Zyxel HW-660, Comptrend O2, VF) a tim ziská mikrotik veřejnou IP.
Provozuji takto několik VPN k maximální spokojenosti.
Případě dotazu na konfiguraci rad poradím.

TomasP

Re:MikroTik IPSEC
« Odpověď #37 kdy: 30. 01. 2014, 18:29:27 »
aaa: díky, ale opět bez úspěchu
Benda: též to umím, ale tohle není ten případ, co bych za to dal... Tady je prostě ISP co má anténu a pak svůj mikrotik na kterém má nastavené IP telefony, atd... a mě posílá do mého MKT neveřejnou a údajně nemá možnost mi dát přímo IP kromě 1:1 natu, na druhé straně jsem jen vyhodil jeho router :D
Konfiguraci mám stejnou jak na WiKi a doma na testovací topo to jelo OK, tady ten NAT nebo něco dělá bordel.
Můžete mi hodit Vaši? Pro porovnání...
Díky!

M.

Re:MikroTik IPSEC
« Odpověď #38 kdy: 30. 01. 2014, 19:19:02 »
Na tom interfacu je treba nastavit ARP na Proxy-ARP  ;)

Tohle je u IPsec tunelu blbost. To se používá u PPP like tunelů (PPTP, L2TP, SSTP), kdy klient má mít IP adresu v stejném segmentu. jako ji má tá síťovka na které zpnete proxy ARP. Obča to proxy arp dokáže vyrábět dost divné věci. Tady nemá co dělat.

aaa: díky, ale opět bez úspěchu
Benda: též to umím, ale tohle není ten případ, co bych za to dal... Tady je prostě ISP co má anténu a pak svůj mikrotik na kterém má nastavené IP telefony, atd... a mě posílá do mého MKT neveřejnou a údajně nemá možnost mi dát přímo IP kromě 1:1 natu, na druhé straně jsem jen vyhodil jeho router :D
Konfiguraci mám stejnou jak na WiKi a doma na testovací topo to jelo OK, tady ten NAT nebo něco dělá bordel.
Můžete mi hodit Vaši? Pro porovnání...
Díky!
A zkoušel sis to na stole u sebe doma, dva mikrotiky mezi sebou, a v cestě měl jende NAT 1:1?

Jinak, že nejde dát veřejnou IP adresu a musí dělat NAT 1:1 je blbost na Ntou, je X způsoů, jak tu jednu veřejnoiu IP adresu dostat. Buď nechce, nebo neumí. Nejjednodušší u MK, že k tobě naroutuje jen tu jednu veřejnou IP s maskou /32. Ty si ji přidáš na WAN interface s maskou /32 paralelně vedle té současné neveřejné. U sebe zruší NAT, ty si jen ve svém routereu v routingu nastavíš u záznamu pro defualtní adresu položku preferred source na hodnotu té veřejné adresy a pojede ti to.
Zkusil bych se prvně domluvit na dopravení té veřejky k tobě, teprve když selže, tak bádat nad NAT-T v IPsecu.

TomasP

Re:MikroTik IPSEC
« Odpověď #39 kdy: 31. 01. 2014, 19:07:52 »
Díky za rady, budu tedy muset řešit NAT-T, ale v tomto se nevyznám až tak jak bych sám chtěl, du tedy googlit, pokud má někdo nějaký tip, budu rád!

TomasP

Re:MikroTik IPSEC
« Odpověď #40 kdy: 31. 01. 2014, 21:17:10 »
Všem díky za rady, nat-T jsem rozjel, ale zjistil jsem, že mám problém s ISP - nejen, že natuje mě, ale on si natuje i sám na svůj mikrotik, tzn. public IP je asi někde na anténě, ta dělá NAT na Mikrotik ISP a ten dělá další NAT pro mě a já si dělám dále další NAT s firemní sítí, tímto IPSEC nikdy neprojde.... Díky ještě jednou všem!

M.

Re:MikroTik IPSEC
« Odpověď #41 kdy: 02. 02. 2014, 20:54:35 »
Nu, místo IPsec tunelu zkusit IPsec transport v kombinaci s L2TP, čili klasika L2TP/IPsec by přes to fungovat mohla.Ale je fakt, že jsme to nezkoušel z MK na MK. Pokud, tak z Windows klienta na MKčko.