+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

IPSec VPN к SonicWall, NAT подсети с обеих сторон.

IPSec VPN к SonicWall, NAT подсети с обеих сторон., RouterOS

ryandale56

Guest

21.12.2006 04:14:00

Привет, народ! Пытаюсь настроить ipsec между домом и офисом. Домашняя сеть находится за NAT от Mikrotik (Mikrotik выполняет NAT). Офис также находится за NAT от Sonicwall (Sonicwall выполняет NAT). Я не думаю, что в этом сценарии NAT-T требуется, так как между Mikrotik и Sonicwall нет NAT. Тем не менее, при попытке установить фазу 2 соединения, Sonicwall пишет ошибку: "Peer IPSec Security Gateway doesn’t support VPN NAT Traversal." Я понимаю, что RouterOS 2.9 не поддерживает NAT-T, но Sonicwall выдает ошибку только при обнаружении NAT между пирами. Между пирами нет NAT, обе подключены напрямую к ISP с реальными адресами в интернете. Есть какие-нибудь предложения, какую конфигурацию мне нужно проверить на Mikrotik, чтобы решить эту проблему? Работаю на RouterOS 2.9 на ПК. Вот немного информации для отладки (мои конфигурации): удаленный пир: 4.4.4.4 (не настоящий IP-адрес, но это публичный IP) удаленная подсеть (NAT): 192.168.1.0/24 мой публичный IP (локальный пир): 5.5.5.5 (интерфейс 3 на Mikrotik) моя локальная подсеть (NAT): 10.1.1.0/24 (интерфейс 2 на Mikrotik — 10.1.1.1) [admin@MikroTik] ip firewall nat> print Флаги: X - отключено, I - недействительно, D - динамически 0 chain=srcnat src-address=10.1.1.0/24 dst-address=192.168.1.0/24 action=accept 1 chain=srcnat out-interface=ether3 action=masquerade [admin@MikroTik] ip ipsec policy> print Флаги: X - отключено, D - динамически, I - недействительно 0 src-address=10.1.1.0/24:any dst-address=192.168.1.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=5.5.5.5 sa-dst-address=4.4.4.4 proposal=default manual-sa=none dont-fragment=clear [admin@MikroTik] ip ipsec peer> print Флаги: X - отключено 0 address=4.4.4.4/32:500 secret=“removedforpost” generate-policy=yes exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 [admin@MikroTik] ip ipsec proposal> print Флаги: X - отключено 0 name=“default” auth-algorithms=sha1 enc-algorithms=aes-128 lifetime=1d lifebytes=0 pfs-group=modp1024 Пожалуйста, помогите, спасибо.

ryandale56 Guest	#2 0 25.05.2007 14:36:00 Я пока не решил эту проблему, но большое спасибо за ответ, tmiklas! Я еще раз все свои настройки проверю и сообщу о результатах…

ryandale56

Guest

25.05.2007 15:23:00

Пока что мне не везет… Единственные отличия, которые я вижу в моей конфигурации и вашей, в том, что 1.) я использую AES-128, 2.) динамически создаваемые политики получают маску /32 для подсетей источника и назначения… что, как мне кажется, неправильно. Проверьте: [admin@MikroTik] /ip ipsec policy> print Flags: X - disabled, D - dynamic, I - inactive 0 D src-address=10.0.0.0/32:any dst-address=10.3.3.0/32:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=76.x.x.x sa-dst-address=66.x.x.x proposal=default priority=0 1 D src-address=10.0.0.0/32:any dst-address=10.3.3.0/32:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=76.x.x.x sa-dst-address=66.x.x.x proposal=default priority=0 Я использую v3.0 beta6. Есть beta7, но в changelog ничего не написано про ipsec…

ryandale56 Guest	#4 0 25.05.2007 15:34:00 Хм, ещё заметил, что политика с src-address 10.3.3.0 и dst-address 10.0.0.0 не создается динамически… Интересно, почему?

saintofinternet Guest	#5 0 03.03.2014 03:21:00 Ребята, можно ли у нас что-то, где с одной стороны (на стороне клиента) будет использоваться динамический IP, который будет подключаться к VPN Sonicwall? Я просто не могу это понять…

tmiklas Guest	#6 0 02.04.2007 13:57:00 Кажется, ты уже решил свою проблему, но вдруг кому-то ещё понадобится. У меня была та же самая проблема, но я решил её вот так… Это пример для одного пира (сейчас у меня 6 пиров, всё настроено так же). У Mikrotik LAN задан как 172.16.5.0/24 с source-nat на внешний мир через публичный IP-адрес 194.x.x.x. [admin@MikroTik] ip ipsec> proposal print Flags: X - disabled 0 name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m lifebytes=0 pfs-group=modp1024 1 name="Office" auth-algorithms=sha1 enc-algorithms=3des lifetime=8h lifebytes=0 pfs-group=none Я использую SHA1 и 3DES с временем жизни 8h, как видно… [admin@MikroTik] ip ipsec> peer print Flags: X - disabled 0 address=213.x.x.x/32:500 secret="test" generate-policy=yes exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=8h lifebytes=0 В этом случае все политики генерируются автоматически. И если я группирую сети на Sonicwall, например, в 'Firewalled Networks' (содержащие все частные и DMZ области за Sonicwall) и поднимаю этот VPN, то получаю: [admin@MikroTik] ip ipsec> policy print Flags: X - disabled, D - dynamic, I - invalid 0 D src-address=172.16.5.0/24:any dst-address=172.16.0.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=194.x.x.x sa-dst-address=213.x.x.x proposal=default dont-fragment=clear 1 D src-address=172.16.5.0/24:any dst-address=213.x.x.x/27:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=194.x.x.x sa-dst-address=213.x.x.x proposal=default dont-fragment=clear 2 D src-address=172.16.5.0/24:any dst-address=172.16.1.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=194.x.x.x sa-dst-address=213.x.x.x proposal=default dont-fragment=clear 3 D src-address=172.16.5.0/24:any dst-address=172.16.2.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=194.x.x.x sa-dst-address=213.x.x.x proposal=default dont-fragment=clear Заметьте, что у меня также есть доступ к DMZ через VPN – очень ограниченный доступ из WAN в DMZ (например, нет SSH), но я хочу здесь ssh, поэтому экспортирую DMZ из Sonicwall для работы через VPN (правило 1). Теперь ключевая часть – NAT-T (nat-traversal), которая не поддерживается RouterOS 2.9, как я нашёл на форуме. Решение очень простое… смотри сам: [admin@MikroTik] ip firewall> nat print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; No NAT on VPN's to the office - public DMZ range + private LAN's chain=srcnat dst-address=172.16.0.0/24 action=accept 1 chain=srcnat dst-address=172.16.1.0/24 action=accept 2 chain=srcnat dst-address=172.16.2.0/24 action=accept 3 chain=srcnat dst-address=213.x.x.x/27 action=accept 4 ;;; Master NAT - all other connections go to the Internet chain=srcnat src-address=172.16.5.0/24 dst-address=0.0.0.0/0 action=src-nat to-addresses=194.x.x.x to-ports=0-65535 Это дало мне полный доступ к LAN’ам за любыми Sonicwall’ами, без NAT. Все остальные соединения идут через NAT, как и хотели… Теперь попробую сделать немного бриджинга с фильтрацией и NAT одновременно… сохраняя несколько бриджей здесь же для ещё 4 частных IP-сетей… Всё должно иметь отдельную фильтрацию на бридже, на трафике, разрешенном через VPN туннели и через NAT. Просто не весь трафик разрешен даже внутри наших собственных сетей и должен фильтроваться на нескольких уровнях. Реальная головная боль для реализации даже с MT, который очень прямолинеен. Надеюсь, это поможет, удачи! Том

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры