Форум программистов, компьютерный форум, киберфорум
Наши страницы
Mikrotik
Войти
Регистрация
Восстановить пароль
Другие темы раздела
Mikrotik Как соединить два канал интернета чтобы они видели друг друга?(Компьютеров) http://www.cyberforum.ru/mikrotik/thread1950218.html
У меня на предприятии есть 2 белые IP интернета, на один из них установлено все наше локалные сеть и один wifi-1. И у нас есть 1с установлен на сервер все локалные сеть и один wifi-1 видит сервера и...
Mikrotik Подбор оборудования
Добрый день Порекомендуйте оборудование. Цель такая, есть около 50 объектов, нужно объединить vpn - он , на объектах только 3g соединение. Головной офис , проводной интернет. Нужны ли везде...
Создание подсетей Mikrotik
Доброго времени суток! Есть Микротик RB2011, смотрящий в Инет и в локальную сеть. Есть всего один доступный для подключения (не буду пояснять по какой причине) для подключения локалки. В локалке в...
Mikrotik не поднимается интернет на микротике не пингуется даже шлюз, пишет timeoud при попытки пропинговать 8.8.8.8 пишет no route to host пингую с терминала винбокса прикладываю лог export # jan/02/1970 00:27:02 by RouterOS 6.35.1 ... http://www.cyberforum.ru/mikrotik/thread1946621.html
Mikrotik VLAN и управляем свитч http://www.cyberforum.ru/mikrotik/thread1945516.html
сДень добрый имею у себя микротик HAP AC (микротик А), и свитч DLINK DES 3200-10 (свитч А). Есть микротик А, на котором созданы вланы с тэгами 10,16,20, которые закинуты в EOIP туннель к другому...
Mikrotik Не маркируются соединения и пакеты. Где я напортачил?
Никогда MikroTik не программировал, но вот пришлось разбираться. Итак, есть в наличии Mikrotik RB951G-2HnD. Его порт ether1 переименован и называется теперь WAN. К нему подключена сеть, которая...
Mikrotik Mikrotik Hotspot, перенаправление https на страницу авторизации
Приветствую народ! Вообщем, проблема с перенаправлением HTTPS запросов на Login Page Хотспота в Микротик! В какую сторону надо копать? Если надо покупать SSL сертификат, как его приобрести и...
Mikrotik Конференция MUM (Россия, Хабаровск, Март 2017) https://www.youtube.com/playlist?list=PLXr-HoBo2VtU4cyCNWzL6h7DbqGcWwDN9 IPv6 - это просто Что дает использование IPv6 и как на простых примерах приобщиться к новому протоколу, используя MikroTik.... http://www.cyberforum.ru/mikrotik/thread1942726.html
Mikrotik Конференция MUM (Россия, Новосибирск, Март 2017) http://www.cyberforum.ru/mikrotik/thread1942720.html
https://www.youtube.com/playlist?list=PLXr-HoBo2VtW-H5bCG_K9trr_9UIassyP IPv6 - это просто Что дает использование IPv6 и как на простых примерах приобщиться к новому протоколу, используя MikroTik....
Mikrotik Из-за настройки микротик Outlook не работает У меня на предприятия настроено сервер Exchange почта. Сейчас интернет у меня нормально работает но Outlook у всех то работает то не работает. Всегда когда Outlook пишет отключено или попытка... http://www.cyberforum.ru/mikrotik/thread1941017.html
Nightingale81
-10 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 177
10.04.2017, 16:39  [ТС] 0

Не работает IPSec Туннель между 2-мя роутерами

10.04.2017, 16:39. Просмотров 1386. Ответов 20
Метки (Все метки)

Ответ

OFFICE 1

_____
# apr/10/2017 15:10:12 by RouterOS 6.38.5
# software id = EG7R-B0F5
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface bridge
add arp=proxy-arp name="bridge LAN-WLAN"
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm \
management-protection=allowed mode=dynamic-keys name="My Secure" \
supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=\
---
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n country=russia disabled=no frequency=2417 hide-ssid=yes \
hw-protection-mode=rts-cts mode=ap-bridge security-profile="My Secure" \
ssid=--- tx-power=15 tx-power-mode=all-rates-fixed \
wireless-protocol=802.11 wps-mode=disabled
/ip ipsec policy group
set
/ip pool
add name=LAN-WLAN-POOL ranges=172.16.0.2-172.16.0.10
/ip dhcp-server
add address-pool=LAN-WLAN-POOL disabled=no interface="bridge LAN-WLAN" name=dhcp1
/interface bridge port
add bridge="bridge LAN-WLAN" interface=ether2
add bridge="bridge LAN-WLAN" interface=wlan1
add bridge="bridge LAN-WLAN" interface=ether3
add bridge="bridge LAN-WLAN" interface=ether4
add bridge="bridge LAN-WLAN" interface=ether5
/ip address
add address=172.16.0.1/28 interface=ether2 network=172.16.0.0
add address=55.55.55.100/24 interface=ether1 network=55.55.55.0
/ip dhcp-server lease
add address=172.16.0.2 client-id=1:40:8d:5c:e4:20:e2 mac-address=\
40:8D:5C:E4:20:E2 server=dhcp1
/ip dhcp-server network
add address=172.16.0.0/28 gateway=172.16.0.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=---.---.---.--- list=List_RA
add address=55.55.55.200 list=List_RA
/ip firewall filter
add action=accept chain=input comment=WinBox connection-state=new dst-port=\
443 in-interface=ether1 protocol=tcp src-address-list=List_RA
add action=accept chain=input comment=PING connection-state=new in-interface=\
ether1 protocol=icmp src-address-list=List_RA
add action=accept chain=input comment="Allow IKE" dst-port=500 protocol=udp \
src-address=55.55.55.200
add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=accept chain=forward comment=NEW connection-state=new \
in-interface="bridge LAN-WLAN" out-interface=ether1
add action=accept chain=forward comment="Rel & Est" connection-state=\
established,related in-interface=ether1 out-interface="bridge LAN-WLAN"
add action=accept chain=forward comment=RDP connection-state=new dst-port=\
3389 in-interface=ether1 out-interface="bridge LAN-WLAN" protocol=tcp \
src-address-list=List_RA
add action=drop chain=input comment="DROP INPUT ALL" connection-state=\
invalid,new in-interface=ether1
add action=drop chain=forward comment="DROP FORWARD ALL" in-interface=ether1 \
out-interface="bridge LAN-WLAN"
/ip firewall nat
add action=accept chain=srcnat comment="NAT for IPSec" dst-address=\
192.168.1.0/24 src-address=172.16.0.0/28
add action=src-nat chain=srcnat comment=NAT out-interface=ether1 \
to-addresses=55.55.55.100
add action=dst-nat chain=dstnat comment="RDP NAT" dst-port=3389 in-interface=\
ether1 protocol=tcp to-addresses=172.16.0.2
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec peer
add address=55.55.55.200/32 nat-traversal=no secret=1234
/ip ipsec policy
add dst-address=192.168.1.0/24 ipsec-protocols=ah-esp sa-dst-address=\
55.55.55.200 sa-src-address=55.55.55.100 src-address=172.16.0.0/28 \
tunnel=yes
/ip route
add distance=1 gateway=55.55.55.1
add comment="Route for IPSec" distance=1 dst-address=192.168.1.0/24 gateway=\
ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=443
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Office1
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add interface="bridge LAN-WLAN"

_____

Добавлено через 22 секунды
OFFICE 2

_____
# apr/10/2017 15:16:39 by RouterOS 6.38.5
# software id = KCXT-C421
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface bridge
add arp=proxy-arp name="bridge LAN-WLAN"
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm \
management-protection=allowed mode=dynamic-keys name="My Secure" \
supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=\
---
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n country=russia disabled=no frequency=2417 hide-ssid=yes \
hw-protection-mode=rts-cts mode=ap-bridge security-profile="My Secure" \
ssid=--- tx-power=15 tx-power-mode=all-rates-fixed \
wireless-protocol=802.11 wps-mode=disabled
/ip ipsec policy group
set
/ip pool
add name=LAN_POOL ranges=192.168.1.100-192.168.1.110
/ip dhcp-server
add address-pool=LAN_POOL disabled=no interface="bridge LAN-WLAN" name=dhcp1
/interface bridge port
add bridge="bridge LAN-WLAN" interface=wlan1
add bridge="bridge LAN-WLAN" interface=ether2
add bridge="bridge LAN-WLAN" interface=ether3
add bridge="bridge LAN-WLAN" interface=ether4
add bridge="bridge LAN-WLAN" interface=ether5
/ip address
add address=192.168.1.1/24 interface="bridge LAN-WLAN" network=192.168.1.0
add address=55.55.55.200/24 interface=ether1 network=55.55.55.0
/ip dhcp-server lease
add address=192.168.1.100 always-broadcast=yes client-id=1:0:22:15:de:59:4e \
mac-address=00:22:15E:59:4E server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=---.---.---.--- list=List_RA
add address=55.55.55.100 list=List_RA
/ip firewall filter
add action=accept chain=input comment=WinBox connection-state=new dst-port=\
443 in-interface=ether1 protocol=tcp src-address-list=List_RA
add action=accept chain=input comment=Ping connection-state=new in-interface=\
ether1 protocol=icmp src-address-list=List_RA
add action=accept chain=input comment="Allow IKE" dst-port=500 protocol=udp \
src-address=55.55.55.100
add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=accept chain=forward comment="Related & Established" \
connection-state=established,related in-interface=ether1 out-interface=\
"bridge LAN-WLAN"
add action=accept chain=forward comment=NEW connection-state=new \
in-interface="bridge LAN-WLAN" out-interface=ether1
add action=accept chain=forward comment=RDP connection-state=new dst-port=\
3389 in-interface=ether1 out-interface="bridge LAN-WLAN" protocol=tcp \
src-address-list=List_RA
add action=drop chain=input comment="DROP INPUT ALL" connection-state=\
invalid,new in-interface=ether1
add action=drop chain=forward comment="DROP Forward ALL" in-interface=ether1 \
out-interface="bridge LAN-WLAN"
/ip firewall nat
add action=accept chain=srcnat comment="NAT for IPSec" dst-address=\
172.16.0.0/28 src-address=192.168.1.0/24
add action=src-nat chain=srcnat comment=NAT out-interface=ether1 \
to-addresses=55.55.55.200
add action=dst-nat chain=dstnat comment="RDP NAT" dst-port=3389 in-interface=\
ether1 protocol=tcp to-addresses=192.168.1.100
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec peer
add address=55.55.55.100/32 nat-traversal=no secret=1234
/ip ipsec policy
add dst-address=172.16.0.0/28 ipsec-protocols=ah-esp sa-dst-address=\
55.55.55.100 sa-src-address=55.55.55.200 src-address=192.168.1.0/24 \
tunnel=yes
/ip route
add distance=1 gateway=55.55.55.1
add comment="Route for IPSec" distance=1 dst-address=172.16.0.0/28 gateway=\
ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=443
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Office2
/system leds
set 0 interface=wlan1
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add interface="bridge LAN-WLAN"
/tool romon port
add
/tool sniffer
set file-limit=5000KiB file-name=SNIFF filter-interface=ether1

_____

Добавлено через 1 минуту
Внешние IP адреса в реале также находятся в одном WAN сегменте с одним шлюзом

Вернуться к обсуждению:
Не работает IPSec Туннель между 2-мя роутерами
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
10.04.2017, 16:39
Готовые ответы и решения:

Как поднять VPN туннель между двумя роутерами?
Доброе время суток! Пожалуйста, не отсылайте меня в гугл или поиск - я уже три дня подряд весь...

Построить GRE туннель между роутерами
Попытался сделать но не работает( Прошу помочь

Не строится IPSEC туннель
Всем привет. После перехода на новую схему для выхода в инет появились сложности с построением...

vpn туннель ipsec с двумя cisco 871
Привет всем, сразу перейду к делу. Есть два офиса (А,Б), и есть два cisco 871. Я новичок в cisco....

Cisco 1841 IPSEC, туннель есть, трафик не идет
Добрый день. Есть удаленный ipcop (с трудом понимаю что за железка, у меня туда ограниченный доступ...

20
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru