Здравствуйте коллеги,
Есть центральный Mikrotik CCR1016(6.42) XX.XXX.XX.XX и клиентский Mikrotik hAP lite(6.46) YY.YYY.YY.YY
Понадобилось прицепить к существующей VPN сети, еще одну подсеть.
Ну, чего там, это не первый клиент к основной сети, трудностей быть не должно.
Прописал все по шаблону…
Поднимаю IPSec — не поднялся 
Стопор на Phase 2.
В логах на центральном роутере:
22:14:33 ipsec,error YY.YYY.YY.YY failed to pre-process ph2 packet.
22:14:35 ipsec,error YY.YYY.YY.YY peer sent packet for dead phase2
22:14:37 ipsec,error YY.YYY.YY.YY peer sent packet for dead phase2
22:14:39 ipsec,error YY.YYY.YY.YY peer sent packet for dead phase2
После долгих мудрствований и копания в правилах, решил включить дебаг IPSEC на клиентском микроте:
И тут:
MikroTik] >
(90 messages discarded)
22:16:05 echo: ipsec,debug,packet IPSEC: HASH with:
22:16:05 echo: ipsec,debug,packet IPSEC: a9c39377 0000000c 00100001 0100000e
22:16:05 echo: ipsec,debug,packet IPSEC: hmac(hmac_sha1)
22:16:05 echo: ipsec,debug,packet IPSEC: HASH computed:
22:16:05 echo: ipsec,debug,packet IPSEC: bfc62501 5ea25fed 64849a4a 2ecb45aa 37c5c863
22:16:05 echo: ipsec,debug IPSEC: hash validated.
22:16:05 echo: ipsec,debug IPSEC: begin.
22:16:05 echo: ipsec,debug IPSEC: seen nptype=8(hash) len=24
22:16:05 echo: ipsec,debug IPSEC: seen nptype=11(notify) len=12
22:16:05 echo: ipsec,debug IPSEC: succeed.
22:16:05 echo: ipsec,debug IPSEC: XX.XXX.XX.XX notify: NO-PROPOSAL-CHOSEN
22:16:05 echo: ipsec IPSEC: XX.XXX.XX.XX fatal NO-PROPOSAL-CHOSEN notify messsage, phase1 should be deleted.
Ну думаю, конечно же мой косяк, лезу сравнивать IPSEC — Proposals на обоих микротах:
Сервер:
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=PROPOSAL-IPSEC-MAIN pfs-group=none
Клиент:
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=PROPOSAL-IPSEC-MAIN pfs-group=none
Различий нет, куда копать непонятно.
Может быть дело в различиях прошивки на центральном 6.42.3 и клиентском 6.46 роутерах?
Или, может на клиенте поднят еще l2tp, он мешает?
Может сталкивался кто с таким, подскажите пожалуйста?
I’m trying to configure a site to site IPSec. I’ve setup a test setup on local LAN before trying to go over WAN
Main Office Router:
RB2011UiAS (6.38.5 stable)
ether1 0.77.101.201/24
ether2-master 172.22.0.1/24
Firewall NAT
0 chain=srcnat action=accept src-address=172.22.0.0/24 dst-address=192.168.88.0/24
1 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=»»
[admin@MikroTik] > ip ipsec peer print
Flags: X — disabled, D — dynamic, R — responder
0 address=10.77.101.202/32 auth-method=pre-shared-key secret=»test»
generate-policy=no policy-template-group=default exchange-mode=main
send-initial-contact=yes nat-traversal=no proposal-check=obey
hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d
dpd-interval=2m dpd-maximum-failures=5
[admin@MikroTik] > ip route print
Flags: X — disabled, A — active, D — dynamic,
C — connect, S — static, r — rip, b — bgp, o — ospf, m — mme,
B — blackhole, U — unreachable, P — prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.77.101.1 1
1 S 0.0.0.0/0 10.77.101.201 1
2 ADC 10.77.101.0/24 10.77.101.201 ether1 0
3 ADC 172.22.0.0/24 172.22.0.1 bridge 0
4 S ;;; IPSec Traffic to Client
192.168.88.0/24 192.168.88.1 1
host 172.22.0.44
Branch Office Router:
RB2011UAS-2HnD (6.38.5 stable)
ether1 0.77.101.202/24
ether2-master 192.168.88.0.1/24
Firewall NAT
0 chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=172.22.0.0/24
1 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=»»
[admin@MikroTik] > ip ipsec peer print
Flags: X — disabled, D — dynamic, R — responder
0 address=10.77.101.201/32 auth-method=pre-shared-key secret=»test»
generate-policy=no policy-template-group=default exchange-mode=main
send-initial-contact=yes nat-traversal=no proposal-check=obey
hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d
dpd-interval=2m dpd-maximum-failures=5
[admin@MikroTik] > ip route print
Flags: X — disabled, A — active, D — dynamic, C — connect, S — static, r — rip, b — bgp, o — ospf, m — mme, B — blackhole, U — unreachable, P
— prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 S 0.0.0.0/0 10.77.101.202 1
1 A S 0.0.0.0/0 10.77.101.1 1
2 ADC 10.77.101.0/24 10.77.101.202 ether1 0
3 S ;;; IPSec Traffic to Server
172.22.0.0/24 172.22.0.1 1
4 ADC 192.168.88.0/24 192.168.88.1 bridge 0
bridge
host 192.168.88.42
I have two hosts connected to each router. I get no traffic between the hosts. Routers can ping each other and hosts can ping routers. Rest of settings are left on default.
Should I create some route on hosts? What am I missing? Any help appreciated.
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
1 |
|
|
18.04.2018, 17:10. Показов 11424. Ответов 21
Делаю настройку туннеля по инструкции
0 |
|
Programming Эксперт 94731 / 64177 / 26122 Регистрация: 12.04.2006 Сообщений: 116,782 |
18.04.2018, 17:10 |
|
Ответы с готовыми решениями: Связь между двумя подсетями Есть два роутера, оба микротика, к одному подключен сервер (10.1.10.0/24), ко… Подключение между подсетями и сервером
Настройка доступа между подсетями 21 |
NAT между двумя подсетями|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
18.04.2018, 17:48 |
2 |
|
в инструкции написано добавить в мост LAN и туннельный интерфейс Добавлено через 1 минуту
0 |
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
18.04.2018, 18:40 [ТС] |
3 |
|
у вас уже есть мост (объединяющий порты или master порт и waln), то просто добавьте в тот мост туннельный интерфейс Вот именно это я и сделал поначалу Код 0 name="office-tunnel" mtu=auto actual-mtu=1458 l2mtu=65535 mac-address=ff:ff:ff:ff:ff:ff arp=enabled
arp-timeout=auto loop-protect=default loop-protect-status=off loop-protect-send-interval=5s
loop-protect-disable-time=5m local-address=a.a.a.a remote-address=b.b.b.b tunnel-id=0
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no ipsec-secret="presharedKey" allow-fast-path=no
Настройки второго: Код 0 name="aland-tunnel-eoip" mtu=auto actual-mtu=1458 l2mtu=65535 mac-address=dd:dd:dd:dd:dd:dd arp=enabled arp-timeout=auto
loop-protect=default loop-protect-status=off loop-protect-send-interval=5s loop-protect-disable-time=5m local-address=b.b.b.b
remote-address=a.a.a.a tunnel-id=0 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="presharedKey" allow-fast-path=no
Но туннель не поднимается. Возможно потому, что локальные адреса обоих микротиков совпадают? В файерволе ipsec разрешён
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
18.04.2018, 18:58 |
4 |
|
попробуйте сначала без добавления в мост, если не получится, попробуйте без ipsec, удалите ipsec-secret на время теста отключите запрещающие правила в фаерволе
0 |
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
18.04.2018, 20:00 [ТС] |
5 |
|
да, есть ошибки. Но что они значат? Пока попробую отключить ipsec Код 19:15:46 ipsec,error no suitable proposal found. 19:15:46 ipsec,error b.b.b.b failed to pre-process ph2 packet. 19:15:56 ipsec,error b.b.b.b peer sent packet for dead phase2 19:16:06 ipsec,error b.b.b.b peer sent packet for dead phase2 Добавлено через 42 минуты
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
18.04.2018, 20:04 |
6 |
|
это ошибки ipsec, попробуйте отключить и еще IPoE работает через GRE, провайдер не блокирует часом GRE? в фаерволе разрешен? Добавлено через 1 минуту
0 |
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
18.04.2018, 20:27 [ТС] |
7 |
|
провайдер не блокирует часом GRE Вряд ли, но как это узнать? В файерволе разрешено
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
18.04.2018, 20:36 |
8 |
|
если без ipsec туннель поднялся, то GRE не блокируется
0 |
|
10931 / 6786 / 1815 Регистрация: 25.12.2012 Сообщений: 28,715 |
|
|
19.04.2018, 07:45 |
9 |
|
ViterAlex,
и еще IPoE работает через GRE тут EoIP
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
19.04.2018, 08:48 |
10 |
|
тут EoIP верно, спутал, но все равно через GRE, лично проверял вчера
0 |
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 09:11 [ТС] |
11 |
|
делайте строго по инструкции Строго по инструкции. Без шифрования работает, с шифрованием падает с указанными ошибками. Буду копать описания ошибок, может удастся что-то найти.
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
19.04.2018, 09:20 |
12 |
|
с большой вероятностью можно сказать что это фаервол, проверить можно отключением запрещающих правил в цепочке input Код /ip firewall filter > add chain=input action=accept protocol=udp dst-port=500 src-address=Y.Y.Y.Y > add chain=input action=accept protocol=ipsec-esp src-address=Y.Y.Y.Y > add chain=input action=accept protocol=ipsec-ah src-address=Y.Y.Y.Y где Y.Y.Y.Y белый адрес второй стороны или вообще можно разрешить весть трафик между белыми адресами не конкретизируя протоколы и порты
0 |
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 09:40 [ТС] |
13 |
|
.None, в файерволе именно такие правила и стоят. Плюс ещё для GRE. Стоят раньше запрещающих. Из запрещающих только это есть: Код 9 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""
10 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix=""
0 |
|
3691 / 1377 / 250 Регистрация: 23.06.2009 Сообщений: 4,941 |
|
|
19.04.2018, 10:06 |
14 |
|
а если добавить в самый верх на каждой стороне правило ситуация поменяется? версия прошивок какая стоит? и какие микротики? вам принципиально нужен L2? что хотите в итоге получить? как должно работать?
0 |
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 10:22 [ТС] |
15 |
|
Получилось! Суть была во фразе Код /ip ipsec policy print without-paging
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default
0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
1 A src-address=a.a.a.a src-port=any dst-address=b.b.b.b dst-port=any protocol=all
action=encrypt level=require ipsec-protocols=esp tunnel=no proposal=default ph2-count=1
А сам набор (Proposal) указывается отдельно: Код /ip ipsec proposal print Flags: X - disabled, * - default 0 * name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024 Так вот эти наборы должны если не совпадать полностью, то пересекаться в пунктах
0 |
|
10931 / 6786 / 1815 Регистрация: 25.12.2012 Сообщений: 28,715 |
|
|
19.04.2018, 11:17 |
16 |
|
А сам набор (Proposal) там настройки шифрования и хеширования для фазы 2
1 |
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 13:01 [ТС] |
17 |
|
настройки шифрования и хеширования для фазы 2 А что тогда указывается во вкладке Encryption для Peers?
0 |
|
Модератор
1502 / 595 / 112 Регистрация: 10.06.2009 Сообщений: 2,287 |
|
|
19.04.2018, 13:22 |
18 |
|
А что тогда указывается во вкладке Encryption для Peers? А какие маршрутизаторы у вас?
0 |
|
8924 / 4836 / 1885 Регистрация: 11.02.2013 Сообщений: 10,246 |
|
|
19.04.2018, 13:42 [ТС] |
19 |
|
NoNaMe, hAP ac lite RouterBOARD 952Ui-5ac2nD
0 |
|
Модератор
1502 / 595 / 112 Регистрация: 10.06.2009 Сообщений: 2,287 |
|
|
19.04.2018, 14:37 |
20 |
|
Смоьтрите таблицу: https://wiki.mikrotik.com/wiki… celeration Добавлено через 1 минуту
1 |