Форум программистов, компьютерный форум, киберфорум
Наши страницы
Mikrotik
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.71/7: Рейтинг темы: голосов - 7, средняя оценка - 4.71
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
1

Не работает IPSec Туннель между 2-мя роутерами

06.04.2017, 17:48. Просмотров 1262. Ответов 20
Метки нет (Все метки)

Помогите пожалуйста.

Есть 2 микротика 951-х.
Настроил между ними Туннель, как показано на видео.
https://www.youtube.com/watch?v=_AyZ0kH76Oc
Однако соединение не работает.
Сразу после настройки, при попытке соединиться с удалённой внутренней сетью, на вкладке "Installed SAs" появились 2 записи . Но быстро они пропали. Только успел прочитать:
Auth Algorithm - none
и
Encr. Algorithm - none.

Однако, на вкладке "Remote Peers" соединение ЕСТЬ постоянно. Запись внешних IP адресов Local Address и Remote Address отображаются на обоих роутерах.
То есть вроде бы как бы работает. Ну будто бы что-то недонастроено.
На фаерволе я прописал все необходимые правила. И даже килобайты передаются.
Однако на вкладке Nat, правило NAT IPsec, которое создавалось для работы с ним, упорно показывает 0B.
Проверил, всё настроено правильно.
Единственное, что в одной сети маска 24, а в другой 28.
Но это же не должно влиять на работу Тунеля?
Или может?

Добавлено через 34 минуты
И почему то после перезагрузки слетает порт 500 в настройках в Peers
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
06.04.2017, 17:48
Ответы с готовыми решениями:

Как поднять VPN туннель между двумя роутерами?
Доброе время суток! Пожалуйста, не отсылайте меня в гугл или поиск - я уже три дня подряд весь...

Построить GRE туннель между роутерами
Попытался сделать но не работает( Прошу помочь

Не строится IPSEC туннель
Всем привет. После перехода на новую схему для выхода в инет появились сложности с построением...

vpn туннель ipsec с двумя cisco 871
Привет всем, сразу перейду к делу. Есть два офиса (А,Б), и есть два cisco 871. Я новичок в cisco....

Cisco 1841 IPSEC, туннель есть, трафик не идет
Добрый день. Есть удаленный ipcop (с трудом понимаю что за железка, у меня туда ограниченный доступ...

20
.None
Эксперт по компьютерным сетям
2586 / 982 / 144
Регистрация: 23.06.2009
Сообщений: 3,448
06.04.2017, 18:03 2
какая версия прошивки? на видео староватая версия...

рекомендую обновится до последней версии и настроить как написано в вики Manual:IP/IPsec
раздел Site to Site IpSec Tunnel
0
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
06.04.2017, 18:10  [ТС] 3
Версия самая последняя
0
.None
Эксперт по компьютерным сетям
2586 / 982 / 144
Регистрация: 23.06.2009
Сообщений: 3,448
06.04.2017, 20:01 4
настройка для 5 версии, как на видео, может сильно отличатся от настройки текущей 6 версии
0
06.04.2017, 20:01
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
07.04.2017, 16:17  [ТС] 5
Смотрел и по 6-й версии:
https://www.youtube.com/watch?v=QwcqvQq1xhs

Так же не работает.
У меня одна на одном роутере внутренняя подсеть 192.168.15.0/28 а на другом 192.168.30.0/24
т.е. маска разная. Это может мешать работе?
0
insect_87
Эксперт по компьютерным сетям
4849 / 3929 / 807
Регистрация: 25.12.2012
Сообщений: 16,689
07.04.2017, 16:21 6
Цитата Сообщение от Nightingale81 Посмотреть сообщение
У меня одна на одном роутере внутренняя подсеть 192.168.15.0/28 а на другом 192.168.30.0/24
т.е. маска разная. Это может мешать работе?
нет
0
.None
Эксперт по компьютерным сетям
2586 / 982 / 144
Регистрация: 23.06.2009
Сообщений: 3,448
07.04.2017, 16:39 7
ну давайте настройки микротиков через export
0
NoNaMe
Эксперт по компьютерным сетям
722 / 345 / 55
Регистрация: 10.06.2009
Сообщений: 1,549
Завершенные тесты: 1
07.04.2017, 17:38 8
Без Экспорта совершена непонятна пречина почему у вас оно не работает.
Код
export file=cyberforum.rsc
0
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
10.04.2017, 16:39  [ТС] 9
OFFICE 1

_____
# apr/10/2017 15:10:12 by RouterOS 6.38.5
# software id = EG7R-B0F5
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface bridge
add arp=proxy-arp name="bridge LAN-WLAN"
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm \
management-protection=allowed mode=dynamic-keys name="My Secure" \
supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=\
---
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n country=russia disabled=no frequency=2417 hide-ssid=yes \
hw-protection-mode=rts-cts mode=ap-bridge security-profile="My Secure" \
ssid=--- tx-power=15 tx-power-mode=all-rates-fixed \
wireless-protocol=802.11 wps-mode=disabled
/ip ipsec policy group
set
/ip pool
add name=LAN-WLAN-POOL ranges=172.16.0.2-172.16.0.10
/ip dhcp-server
add address-pool=LAN-WLAN-POOL disabled=no interface="bridge LAN-WLAN" name=dhcp1
/interface bridge port
add bridge="bridge LAN-WLAN" interface=ether2
add bridge="bridge LAN-WLAN" interface=wlan1
add bridge="bridge LAN-WLAN" interface=ether3
add bridge="bridge LAN-WLAN" interface=ether4
add bridge="bridge LAN-WLAN" interface=ether5
/ip address
add address=172.16.0.1/28 interface=ether2 network=172.16.0.0
add address=55.55.55.100/24 interface=ether1 network=55.55.55.0
/ip dhcp-server lease
add address=172.16.0.2 client-id=1:40:8d:5c:e4:20:e2 mac-address=\
40:8D:5C:E4:20:E2 server=dhcp1
/ip dhcp-server network
add address=172.16.0.0/28 gateway=172.16.0.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=---.---.---.--- list=List_RA
add address=55.55.55.200 list=List_RA
/ip firewall filter
add action=accept chain=input comment=WinBox connection-state=new dst-port=\
443 in-interface=ether1 protocol=tcp src-address-list=List_RA
add action=accept chain=input comment=PING connection-state=new in-interface=\
ether1 protocol=icmp src-address-list=List_RA
add action=accept chain=input comment="Allow IKE" dst-port=500 protocol=udp \
src-address=55.55.55.200
add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=accept chain=forward comment=NEW connection-state=new \
in-interface="bridge LAN-WLAN" out-interface=ether1
add action=accept chain=forward comment="Rel & Est" connection-state=\
established,related in-interface=ether1 out-interface="bridge LAN-WLAN"
add action=accept chain=forward comment=RDP connection-state=new dst-port=\
3389 in-interface=ether1 out-interface="bridge LAN-WLAN" protocol=tcp \
src-address-list=List_RA
add action=drop chain=input comment="DROP INPUT ALL" connection-state=\
invalid,new in-interface=ether1
add action=drop chain=forward comment="DROP FORWARD ALL" in-interface=ether1 \
out-interface="bridge LAN-WLAN"
/ip firewall nat
add action=accept chain=srcnat comment="NAT for IPSec" dst-address=\
192.168.1.0/24 src-address=172.16.0.0/28
add action=src-nat chain=srcnat comment=NAT out-interface=ether1 \
to-addresses=55.55.55.100
add action=dst-nat chain=dstnat comment="RDP NAT" dst-port=3389 in-interface=\
ether1 protocol=tcp to-addresses=172.16.0.2
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec peer
add address=55.55.55.200/32 nat-traversal=no secret=1234
/ip ipsec policy
add dst-address=192.168.1.0/24 ipsec-protocols=ah-esp sa-dst-address=\
55.55.55.200 sa-src-address=55.55.55.100 src-address=172.16.0.0/28 \
tunnel=yes
/ip route
add distance=1 gateway=55.55.55.1
add comment="Route for IPSec" distance=1 dst-address=192.168.1.0/24 gateway=\
ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=443
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Office1
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add interface="bridge LAN-WLAN"

_____

Добавлено через 22 секунды
OFFICE 2

_____
# apr/10/2017 15:16:39 by RouterOS 6.38.5
# software id = KCXT-C421
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface bridge
add arp=proxy-arp name="bridge LAN-WLAN"
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm \
management-protection=allowed mode=dynamic-keys name="My Secure" \
supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=\
---
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n country=russia disabled=no frequency=2417 hide-ssid=yes \
hw-protection-mode=rts-cts mode=ap-bridge security-profile="My Secure" \
ssid=--- tx-power=15 tx-power-mode=all-rates-fixed \
wireless-protocol=802.11 wps-mode=disabled
/ip ipsec policy group
set
/ip pool
add name=LAN_POOL ranges=192.168.1.100-192.168.1.110
/ip dhcp-server
add address-pool=LAN_POOL disabled=no interface="bridge LAN-WLAN" name=dhcp1
/interface bridge port
add bridge="bridge LAN-WLAN" interface=wlan1
add bridge="bridge LAN-WLAN" interface=ether2
add bridge="bridge LAN-WLAN" interface=ether3
add bridge="bridge LAN-WLAN" interface=ether4
add bridge="bridge LAN-WLAN" interface=ether5
/ip address
add address=192.168.1.1/24 interface="bridge LAN-WLAN" network=192.168.1.0
add address=55.55.55.200/24 interface=ether1 network=55.55.55.0
/ip dhcp-server lease
add address=192.168.1.100 always-broadcast=yes client-id=1:0:22:15:de:59:4e \
mac-address=00:22:15E:59:4E server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=---.---.---.--- list=List_RA
add address=55.55.55.100 list=List_RA
/ip firewall filter
add action=accept chain=input comment=WinBox connection-state=new dst-port=\
443 in-interface=ether1 protocol=tcp src-address-list=List_RA
add action=accept chain=input comment=Ping connection-state=new in-interface=\
ether1 protocol=icmp src-address-list=List_RA
add action=accept chain=input comment="Allow IKE" dst-port=500 protocol=udp \
src-address=55.55.55.100
add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=accept chain=forward comment="Related & Established" \
connection-state=established,related in-interface=ether1 out-interface=\
"bridge LAN-WLAN"
add action=accept chain=forward comment=NEW connection-state=new \
in-interface="bridge LAN-WLAN" out-interface=ether1
add action=accept chain=forward comment=RDP connection-state=new dst-port=\
3389 in-interface=ether1 out-interface="bridge LAN-WLAN" protocol=tcp \
src-address-list=List_RA
add action=drop chain=input comment="DROP INPUT ALL" connection-state=\
invalid,new in-interface=ether1
add action=drop chain=forward comment="DROP Forward ALL" in-interface=ether1 \
out-interface="bridge LAN-WLAN"
/ip firewall nat
add action=accept chain=srcnat comment="NAT for IPSec" dst-address=\
172.16.0.0/28 src-address=192.168.1.0/24
add action=src-nat chain=srcnat comment=NAT out-interface=ether1 \
to-addresses=55.55.55.200
add action=dst-nat chain=dstnat comment="RDP NAT" dst-port=3389 in-interface=\
ether1 protocol=tcp to-addresses=192.168.1.100
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec peer
add address=55.55.55.100/32 nat-traversal=no secret=1234
/ip ipsec policy
add dst-address=172.16.0.0/28 ipsec-protocols=ah-esp sa-dst-address=\
55.55.55.100 sa-src-address=55.55.55.200 src-address=192.168.1.0/24 \
tunnel=yes
/ip route
add distance=1 gateway=55.55.55.1
add comment="Route for IPSec" distance=1 dst-address=172.16.0.0/28 gateway=\
ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=443
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Office2
/system leds
set 0 interface=wlan1
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add interface="bridge LAN-WLAN"
/tool romon port
add
/tool sniffer
set file-limit=5000KiB file-name=SNIFF filter-interface=ether1

_____

Добавлено через 1 минуту
Внешние IP адреса в реале также находятся в одном WAN сегменте с одним шлюзом
0
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
12.04.2017, 11:41  [ТС] 10
Ну что?
Есть соображения??
0
.None
Эксперт по компьютерным сетям
2586 / 982 / 144
Регистрация: 23.06.2009
Сообщений: 3,448
12.04.2017, 20:24 11
я помню про вас, чуть позже внимательно посмотрю конфиги

Добавлено через 8 часов 19 минут
ну по конфигам вроде все верно

если есть желание, могу подключится по teamviewer или anydesk и на месте посмотреть что не так

ЗЫ: собрал макет, настроил по вики, все работает, трафик между сетями ходит через ipsec
0
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
13.04.2017, 10:50  [ТС] 12

Забыл ещё написать...
У меня отключён поиск соседей на внешних интерфейсах.
1. В IP > Neighbors, на вкладке Discovery Interfaces - я отключил свой ether1 (на обоих роутерах).
2. И в tools > MAC Server на вкладке MAC Interfaces отключил ALL и добавил бридж внутренних интерфейсов (для невозможности подключения через maс telnet).

Это же не должно влиять на работу туннеля?

Добавлено через 4 минуты
включал - не помогло ((

Добавлено через 5 минут
Если на вкладке Remote Peers (на обоих роутерах) постоянно отображаются Локальный и удалённый адрес, а на вкладке Installed Sas ничего нет и счётчик NAT for Ipsec - нулевой (0 байт). Что это может быть?
0
.None
Эксперт по компьютерным сетям
2586 / 982 / 144
Регистрация: 23.06.2009
Сообщений: 3,448
13.04.2017, 10:50 13
это не должно влиять

зачем на мостах arp=proxy-arp?

рекомендую все убрать и заново настроить по вики микротика

ну или teamviewer/anydesk
0
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
13.04.2017, 11:44  [ТС] 14
На мостах proxy-arp это для VPN надо было.
0
.None
Эксперт по компьютерным сетям
2586 / 982 / 144
Регистрация: 23.06.2009
Сообщений: 3,448
13.04.2017, 12:02 15
в Installed SAs счетчики байт тикают?
0
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
17.04.2017, 14:06  [ТС] 16
Там нет счётчиков
0
.None
Эксперт по компьютерным сетям
2586 / 982 / 144
Регистрация: 23.06.2009
Сообщений: 3,448
18.04.2017, 10:01 17
хм, у меня есть
0
Миниатюры
Не работает IPSec Туннель между 2-мя роутерами  
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
18.04.2017, 11:14  [ТС] 18
Ааааааа... ))))

Я не знал. У меня до этого не доходило.
Несколько секунд отображается
Auth Algorithm - none
и
Encr. Algorithm - none.

Добавлено через 17 минут
Думаю дело не в Ipsec.
В NAT для IPSec счётчик 0В.
Стоит Proxy-arp . Может из-за него?
Правда менял. не помогло

Добавлено через 5 минут
Думаю, что ещё до настройки IPSec, когда прописываешь NAT и Route. И при попытке пинговать, адреса внутренней удалённой сети, счётчик в табице NAT (NAT for IPSec) должен как то как реагировать. А он упорно показывает 0 байт
0
.None
Эксперт по компьютерным сетям
2586 / 982 / 144
Регистрация: 23.06.2009
Сообщений: 3,448
18.04.2017, 11:21 19
я вроде без route и NAT настраивал, все работало

teamviewer?
0
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 164
18.04.2017, 12:16  [ТС] 20
Screen
0
Миниатюры
Не работает IPSec Туннель между 2-мя роутерами  
18.04.2017, 12:16
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
18.04.2017, 12:16

IPSec site to site не поднимается туннель в GNS3
Добрый день уважаемы форумчане, столнулся с такой проблемкой. Дали задание по учебе поднять IPSec ...

Мост между роутерами (репитеры)
Значит есть ZyXel p330W EE и TP-link TL-WR542G можно ли прокинуть между ними беспроводной...

DHCP и связи между роутерами
Добрый времени суток Не подскажите как корректно подключить роутеры между собой , что бы раздать...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru