IPsec тоннель на 2ух mikrotik

Прошу помощи, есть цель настроить IPsec тоннель между двумя mikrotik, пока что в тестовом режиме. Просмотрел уже множество статей, но ни один рецепт не сработал, плюс большинство из них описывает действия на старой версии RouterOS
Mikrotik'и соединены свичём, на каждом подцеплено по 1 компу, плюс на 1 разделены порты для выхода в сеть
конфиги:
1. Routerboard 951Ui 2HnD (тот на котором разделены порты)
# software id = YBEZ-VGG8
#
# model = 951Ui-2HnD
# serial number = 5581056614B0
/interface bridge
add name=bridge1
add name=bridge2
/interface wireless
set [ find default-name=wlan1 ] mode=station-pseudobridge ssid=MikroTik
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=22.22.22.22/32 name=peer1
/ip pool
add name=pool1 ranges=192.168.3.2-192.168.3.20
add name=pool2 ranges=192.168.0.2-192.168.0.20
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge1 name=server1
add address-pool=pool2 disabled=no interface=bridge2 name=server2
/interface bridge port
add bridge=bridge1 hw=no interface=ether4
add bridge=bridge1 interface=wlan1
add bridge=bridge2 interface=ether2
add bridge=bridge2 interface=ether5
/interface bridge settings
set use-ip-firewall=yes
/interface list member
add interface=wlan1 list=WAN
add interface=bridge1 list=LAN
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
/ip address
add address=192.168.3.1/24 interface=bridge1 network=192.168.3.0
add address=11.11.11.11/29 interface=ether1 network=11.11.11.8
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether3
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
add address=192.168.3.0/24 gateway=192.168.3.1
/ip firewall nat
add action=accept chain=srcnat dst-address-list=172.18.0.0/24 src-address-list=\
192.168.0.0/24
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 out-interface=ether1 \
protocol=ipsec-esp src-address=192.168.0.0/24
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 out-interface=ether3 \
src-address=192.168.3.0/24
/ip ipsec policy
add dst-address=172.18.0.0/24 ipsec-protocols=ah sa-dst-address=22.22.22.22 \
sa-src-address=11.11.11.11 src-address=192.168.0.0/24 tunnel=yes
/ip route
add distance=1 dst-address=22.22.22.16/29 gateway=ether1
add distance=1 dst-address=172.18.0.0/24 gateway=ether1
/system clock
set time-zone-name=Europe/Moscow
[admin@MikroTik] >


2. RouterBOARD RB3011 UiAS-RM
# software id = APL0-H0MD
#
# model = RouterBOARD 3011UiAS
# serial number = 689A06A5D706
/interface bridge
add admin-mac=6C:3B:6B:1C:2B:17 auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=11.11.11.11/32 name=peer1
/ip pool
add name=dhcp ranges=172.18.0.2-172.18.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=server1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=22.22.22.22/29 interface=ether1 network=22.22.22.16
add address=172.18.0.1/24 interface=ether2 network=172.18.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=172.18.0.0/24 gateway=172.18.0.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=172.18.0.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
172.18.0.0/24
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 out-interface=ether1 \
protocol=ipsec-esp src-address=172.18.0.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
/ip ipsec policy
add dst-address=192.168.0.0/24 ipsec-protocols=ah sa-dst-address=11.11.11.11 \
sa-src-address=22.22.22.22 src-address=172.18.0.0/24 tunnel=yes
/ip route
add distance=1 dst-address=11.11.11.8/29 gateway=ether1
add distance=1 dst-address=192.168.0.0/24 gateway=ether1
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

RouterOS 6.44.3 текущую конфигурацию брал: https://www.youtube.com/watch?v=QwcqvQq1xhs
После настройки подключение не активно PH2 state: no phase 2
С Mikrotik ранее не работал IPsec ранее не настраивал.

0

нужно понимать для чего все это, если разобраться, то нужно изучить как работает IPSec, принципы, протоколы, шифрование авторизация и т.д., потом на вики микротика посмотреть особенности реализации и настройки IPSec на RouterOS, потом вдумчиво и с понимание что именно ты делаешь настраивать IPSec

а если нужно чтобы просто заработал туннель, то микротик для этого все уже сделал, настраивается это 1 настройкой в настройках туннельного интерфейса

например поднимаете ipip туннель в свойствах туннеля в поле IPSec Secret вводите пароль, нажимаете Apply, а дальше роутерос сделает все сама, останется только прописать ip адреса на туннельных интерфейсах и прописать маршрутизацию.

0

По сути это потенциальная задача для объединения офиса со складом. Ранее была попытка настроить l2tp на 950ом - безуспешно. Конечная цель иметь обоюдный доступ к компьютерам обеих сторон через.

Сообщение от .None а если нужно чтобы просто заработал туннель, то микротик для этого все уже сделал, настраивается это 1 настройкой в настройках туннельного интерфейса

при указанной конфигурации маршрутизаторы пингуют друг друга, так же как и устройства пингуют противоположные маршрутизаторы, однако сами устройства друг друга не пингуют. Если есть какая-то ошибка в конфигурации прошу ткнуть носом.

Сообщение от .None например поднимаете ipip туннель в свойствах туннеля в поле IPSec Secret вводите пароль, нажимаете Apply, а дальше роутерос сделает все сама, останется только прописать ip адреса на туннельных интерфейсах и прописать маршрутизацию.

Прошу более подробных инструкций или актуальную по RouterOS версии ссылку, т.к. всё что я находил - по старым версиям, а даунгрейда хотелось бы избежать.

0

нужно уточнить, связь между офисом и складом через интернет?
на обоих концах публичные (белые) адреса? статические или динамические?

от этого зависит тип VPN туннеля и настройка

и еще IPsec это принципиально? это я к тому, что 3011 имеет аппаратную поддержку шифрования в IPsec, а вот 951-у придется шифровать процессором, который и та не очень шустрый там.

да, и для информации, какие скоростя в офисе и складе, и какой тип трафика будет ходить по туннелю? SIP/smb/1C?

0

Сообщение от .None нужно уточнить, связь между офисом и складом через интернет? на обоих концах публичные (белые) адреса? статические или динамические?

Да, через интернет. На складе белый ip адрес, офис является поддоменом, знаю что это будет проблемой.

Сообщение от .None и еще IPsec это принципиально?

крайне желательно, но если станет мешать, возможно прийдётся отказаться

Сообщение от .None какие скоростя в офисе и складе, и какой тип трафика будет ходить по туннелю? SIP/smb/1C?

SMP

На данном этапе хотелось бы добиться работы хотя бы в тестовом режиме, чтобы как минимум понять основные принципы. Рабочие решения из сети должного эффекта не дают, плюс отчасти дело осложняется новой версией RouerOS в которой есть некоторые изменения не позволяющие повторить решения 1:1

0

Сообщение от Jstwrkr офис является поддоменом

в смысле поддоменом? белый или серый адрес в офисе? из инета можно до него достучаться?

на складе белый статический или динамический?

0

В офисе серый, мы являемся подсетью внутри сети БЦ. На складе белый IP статический.

0

теперь понятно

из имеющихся тех условий, выбираем l2tp vpn, работает за нат, шифруем ipsec

только что у себя за 5 мин настроил, проверил, работает

там где белый ip будет сервер, идем в ppp profiles, создаем новый профайл на всякий случай, называем произвольно

дальше interface, жмем L2TP Server, включаем его, указываем созданный профайл, оставляем mschap2 остальные галки снимаем, ipsec пока не трогаем
дальше в secrets, создаем пользователя ставим пароль, указываем адреса loacl address к примеру 192.168.150.1, Remote 192.168.150.2, применяем, все с сервером закончили, нужно проследить чтобы был разрешен input udp 1701 в фаерволе

дальше на той стороне где серый адрес, добавляем l2tp client, dial out вписываем ip адрес сервера, логин и пароль, оставляем mschap2 жмем ок, при этом в списке интерфейсов напротив этого подключения должна появится R значит туннель установлен, можно продолжать, пробуем пинговать сервер 192.168.150.1, если все нормально включаем ipsec

на сервере в фаерволе дополнительно к 1701 разрешаем input udp 500 4500, можно в тоже правило добавить
дальше в настройки l2tp сервера, use ipsec=yes и вводим ipsec secret, применяем

на стороне клиента, открываем настройки подключения, ставим галочку use ipsec, вводим пароль
вывключаем и включаем подключение, через какой-то время должна появится R, пробуем опять пинговать сервер, если все пингуется, настраиваем маршрутизацию между офисами

если на каком-то этапе что-то не получается, смотрим логи, там будет ошибка

писал в 3 раза дольше чем настраивал
эту схему, можно повторить и на вашем стенде, работать будет.

1

Огромная благодарность. Надеюсь получится, будет наглостью попросить конфиг?

0

конфиг не, испытывалось на продакшене 90% там не нужного

да там 10 кликов мышкой, пару адресов и пару паролей вписать руками

0

У меня просто привычка после крайне неуспешных экспериментов зачищать конфиг, чтобы начать заново и не оставалось старых ошибок. Суть в том что подобный вариант я находил, но он не увенчался успехом, и я почти уверен что дело в кривой настройке, потому просил полностью рабочий конфиг. Благодарю ещё раз

0