Подружить pfSense и Mikrotik по IPsec

@Chay_Nik · Регистрация: 16.03.2013

Студворк — интернет-сервис помощи студентам

Доброго всем!
Пытаюсь создать действующий туннель. Сейчас есть работающий ipsec между двумя pfsense , а вот микротик (initiator) подружить не удается. Созданы политики, настроены одинаковые Proposal, ключи одинаковые, первую фазу проходит с установлением соединения ISAKMP-SA establised. После этого по традиции должен установиться Installed SAs . Но там пусто.
Во всех руководствах в консоли IPsec Policy - Action устанавливают галку v (Tunnel), а в прошивке 6.41 и 6.44 ее нет.
В Firewall Rules разрешены Allow IKE (port udp 500), 50 (ipsec-esp), 51 (ipsec-ah).

Чего не хватает?

@Chay_Nik · 04.04.2019, 19:48 **[ТС]**

Понял, в чем глюк. В дефолтной политике нет ее. Дефолт надо отключать, и создавать другую для использования, там есть галка Tunnel.

В общем, поднялся канал, Installed SA есть, пингов не получил даже с микротика на pfsense и его локальную сеть.

Гляньте, кто разбирается, на конфиг, чего не хватает?

Сеть микротика - 192.168.10.0/24
Сеть pfSense - 192.168.0.0/24

Кликните здесь для просмотра всего текста

/ip ipsec peer
add address=XX.XX.XX.XX/32 exchange-mode=aggressive name=peer1
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024,modp768 enc-algorithm=\
aes-256,aes-128,3des nat-traversal=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-128-ctr,aes-128-gcm,3des
...
/ip address
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
add address=192.168.10.150 disabled=yes interface=ipip-tunnel_ipsec network=\
192.168.10.0
...
/ip firewall filter
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.0.0/24 log=yes log-prefix=\
------------------------------- src-address=192.168.10.0/24
add action=accept chain=input comment=udp500_accept_231 dst-port=500 \
protocol=udp src-address=XX.XX.XX.XX
add action=drop chain=input dst-port=23 in-interface=pppoe-out1 log-prefix=\
drop_tcp_23 protocol=tcp
add action=drop chain=input dst-port=22 in-interface=pppoe-out1 log-prefix=\
drop_ssh protocol=tcp
add action=accept chain=input comment=ipsec-ah_accept_231 protocol=ipsec-ah \
src-address=XX.XX.XX.XX
add action=accept chain=input comment=ipsec-esp_accept_231 protocol=ipsec-esp \
src-address=XX.XX.XX.XX
add action=accept chain=input
add action=accept chain=forward
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add chain=input comment="Allow UDP" protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
/ip firewall nat
add action=accept chain=srcnat comment=home_to_pfsense dst-address=\
192.168.0.0/24 log=yes log-prefix=home_to_pfsense dst
...
/ip ipsec identity
add generate-policy=port-override peer=peer1 secret=\
***********
/ip ipsec policy
set 0 disabled=yes dst-address=192.168.0.0/24 src-address=192.168.10.0/24
add dst-address=192.168.0.0/24 src-address=192.168.10.0/24 template=yes
/system clock
set time-zone-name=Europe/Moscow

Новые блоги и статьи Все статьи Все блоги /
Облачные приложения на Rust: руководство по архитектуре микросервисов golander 13.07.2025 Когда я впервые взялся за проектирование облачной платформы для одного из наших клиентов, выбор стоял между привычными Go и Java. Но после нескольких месяцев разработки микросервисной системы,. . .	Как Node.js выполняет асинхронные операции Reangularity 13.07.2025 Каждый раз, когда я рассказываю про Node. js, возникает один и тот же вопрос: "Как эта штука может быть быстрой, если JavaScript — однопоточный язык?" И это действительно кажется парадоксом. Ведь в. . .	Как писать чистый, тестируемый и качественный код на Python py-thonny 12.07.2025 Помню свой первый проект на Python. Работал тогда быстро, грязно, лишь бы работало. Код был похож на запутанный клубок - переменные по одной букве, функции на 200 строк, комментарии отсутствовали как. . .	Blazor и контроллер сервопривода IoT Meadow Maple Wired 11.07.2025 Я решил разобраться, как можно соединить современные веб-технологии с миром "железа". Интересная комбинация получилась из Blazor в качестве веб-интерфейса и микроконтроллера Meadow с его веб-сервером. . .	Генерация OpenQASM из кода Q# EggHead 10.07.2025 Летом 2024-го я начал эксперименты с библиотекой Q# Bridge, и знаете что? Она оказалась просто находкой для тех, кто работает на стыке разных квантовых экосистем. Основная фишка этой библиотеки -. . .
Изучаем новый шаблон ИИ-чата .NET AI Chat Web App stackOverflow 10.07.2025 В . NET появилось интересное обновление - новый шаблон ИИ-чата под названием . NET AI Chat Web App. Когда я впервые наткнулся на анонс этого шаблона, то сразу понял, что Microsoft наконец-то. . .	Результаты исследования от команды ARP (июль 2025 г.) Programma_Boinc 10.07.2025 Результаты исследования от команды ARP (июль 2025 г. ) Африканский проект по дождям (ARP) World Community Grid снова запущен! Мы рады поделиться обновленной информацией о нашем прогрессе с осени. . .	Angular vs Svelte - что лучше? Reangularity 09.07.2025 Сегодня рынок разделился на несколько четких категорий: тяжеловесы корпоративного уровня (Angular), гибкие универсалы (React), прогрессивные решения (Vue) и новая волна компилируемых фреймворков. . .	Code First и Database First в Entity Framework UnmanagedCoder 09.07.2025 Entity Framework дает нам свободу выбора, предлагая как Code First, так и Database First подходы. Но эта свобода порождает вечный вопрос — какой подход выбрать? Entity Framework — это. . .	Как использовать Bluetooth-модуль HC-05 с Arduino Wired 08.07.2025 Bluetooth - это технология, созданная чтобы заменить кабельные соединения. Обычно ее используют для связи небольших устройств: мобильных телефонов, ноутбуков, наушников и т. д. Работает она на частоте. . .

@Chay_Nik 6 / 6 / 1 Регистрация: 16.03.2013 Сообщений: 139

	Подружить pfSense и Mikrotik по IPsec 01.04.2019, 18:31. Показов 6364. Ответов 1 Метки ipsec, mikrotik, pfsense (Все метки) Доброго всем! Пытаюсь создать действующий туннель. Сейчас есть работающий ipsec между двумя pfsense , а вот микротик (initiator) подружить не удается. Созданы политики, настроены одинаковые Proposal, ключи одинаковые, первую фазу проходит с установлением соединения ISAKMP-SA establised. После этого по традиции должен установиться Installed SAs . Но там пусто. Во всех руководствах в консоли IPsec Policy - Action устанавливают галку v (Tunnel), а в прошивке 6.41 и 6.44 ее нет. В Firewall Rules разрешены Allow IKE (port udp 500), 50 (ipsec-esp), 51 (ipsec-ah). Чего не хватает? 0

@Chay_Nik 6 / 6 / 1 Регистрация: 16.03.2013 Сообщений: 139
	04.04.2019, 19:48 [ТС]
	Понял, в чем глюк. В дефолтной политике нет ее. Дефолт надо отключать, и создавать другую для использования, там есть галка Tunnel. В общем, поднялся канал, Installed SA есть, пингов не получил даже с микротика на pfsense и его локальную сеть. Гляньте, кто разбирается, на конфиг, чего не хватает? Сеть микротика - 192.168.10.0/24 Сеть pfSense - 192.168.0.0/24 Кликните здесь для просмотра всего текста /ip ipsec peer add address=XX.XX.XX.XX/32 exchange-mode=aggressive name=peer1 /ip ipsec profile set [ find default=yes ] dh-group=modp1024,modp768 enc-algorithm=\ aes-256,aes-128,3des nat-traversal=no /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-128-ctr,aes-128-gcm,3des ... /ip address add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0 add address=192.168.10.150 disabled=yes interface=ipip-tunnel_ipsec network=\ 192.168.10.0 ... /ip firewall filter add action=accept chain=forward connection-state=established,related \ dst-address=192.168.10.0/24 src-address=192.168.0.0/24 add action=accept chain=forward connection-state=established,related \ dst-address=192.168.0.0/24 log=yes log-prefix=\ ------------------------------- src-address=192.168.10.0/24 add action=accept chain=input comment=udp500_accept_231 dst-port=500 \ protocol=udp src-address=XX.XX.XX.XX add action=drop chain=input dst-port=23 in-interface=pppoe-out1 log-prefix=\ drop_tcp_23 protocol=tcp add action=drop chain=input dst-port=22 in-interface=pppoe-out1 log-prefix=\ drop_ssh protocol=tcp add action=accept chain=input comment=ipsec-ah_accept_231 protocol=ipsec-ah \ src-address=XX.XX.XX.XX add action=accept chain=input comment=ipsec-esp_accept_231 protocol=ipsec-esp \ src-address=XX.XX.XX.XX add action=accept chain=input add action=accept chain=forward add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add chain=input comment="Allow IKE" dst-port=500 protocol=udp add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah add chain=input comment="Allow UDP" protocol=udp add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related /ip firewall nat add action=accept chain=srcnat comment=home_to_pfsense dst-address=\ 192.168.0.0/24 log=yes log-prefix=home_to_pfsense dst ... /ip ipsec identity add generate-policy=port-override peer=peer1 secret=\ *********** /ip ipsec policy set 0 disabled=yes dst-address=192.168.0.0/24 src-address=192.168.10.0/24 add dst-address=192.168.0.0/24 src-address=192.168.10.0/24 template=yes /system clock set time-zone-name=Europe/Moscow 0

Опции темы