+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Помогите с настройкой IPSEC для «воинов дорог».

Помогите с настройкой IPSEC для «воинов дорог»., RouterOS

synthmeme

Guest

05.04.2007 17:47:00

Как люди решают вопрос с мобильными/дорожными подключениями IPSEC к RouterOS? У меня есть несколько пользователей, которым нужен доступ к их локальным сетям через IPSEC, к которым они будут подключаться с ноутбуков из любого места, обычно находясь за NAT. Сценарий выглядит примерно так: клиент (192.168.1.50) → NAT-шлюз → открытый Интернет → (фиксированный или динамический IP) Mikrotik Router → NAT'ed локальная сеть (192.168.2.0/24). НО, IP клиента будет динамическим, отсюда и название "road warrior". Клиенты будут из Mac и linux, способных делать NAT-T. Можно ли настроить RouterOS для уникальных PSK для каждого удаленного пользователя? Буду очень признателен за примеры конфигураций — в вики этой информации нет. Спасибо.

andrewluck Guest	#2 0 09.04.2007 18:47:00 RouterOS 2.9 не поддерживает NAT-T. В противном случае, для клиентов с динамическим IP используйте `generate-policy=yes` в `/ip policy peer`. С уважением, Andrew.

megajuras

Guest

17.02.2012 12:39:00

Как насчёт сейчас, в версии 5.13? Мне интересно сделать roadwarrior для моей LAN. То, что я (требование от моих клиентов – как я уже говорил, они уже используют это во многих разных местах) хотел сделать, это использовать программный клиент (предпочтительно GreenBow VPN client). LAN – 192.168.0./24, и я хотел, чтобы один из IP-адресов LAN использовался для подключенного ПК (например, 192.168.0.222). Я настроил IPSEC на MT и GB client, и туннель устанавливается отлично. Я могу пинговать IP-адрес шлюза LAN. Я могу пинговать .222 с MT, используя локальный (внутренний) интерфейс. Одна из проблем в том, что когда я пытаюсь пинговать один из внутренних ПК (скажем, это 192.168.0.100), ПК не знает MAC-адрес .222, и включение proxy-arp на интерфейсе не работает. ПК .100 отправляет ARP-запросы, но никто не отвечает. Пожалуйста, подскажите.

megajuras

Guest

01.03.2012 21:57:00

Моя конфигурация почти стандартная: в IP → IPsec → Peers: Адрес: 0.0.0.0/0 Порт: 500 Auth: PSK ExchangeMode: Main Send ini. contact: yes NAT-T: yes My ID User FQDN: Proposal Check: obey Hash: sha Enc.: 3des DH: modp2048 GeneratePolicy: yes Если у твоего воина, например, "локальный" IP-адрес 1.1.1.1, тебе нужно добавить исключение для маскирования – перед правилом маскирования в Firewall → NAT размести правило, которое говорит: "если src IP = твоя LAN и dst IP = 1.1.1.1, то действие: ACCEPT (ничего не делать или не маскировать его). И всё на стороне MT. На твоем VPN-клиенте нужно установить те же самые настройки… Я не игрался с разными конфигурациями Peer, потому что жду ответа на мой вопрос из предыдущих сообщений.

megajuras Guest	#5 0 01.03.2012 21:58:00 Забыл упомянуть, что не проверял, как это работает с клиентом, находящимся за NAT.

megajuras Guest	#6 0 29.08.2012 08:42:00 Есть тут кто-нибудь?

jaytcsd Guest	#7 0 20.09.2012 15:09:00 Я сделал трафаретные отпечатки для своего нетбука с Windows 7, подключенного к роутеру MikroTik RB133. http://mikrotik.patokatech.com/

megajuras

Guest

22.02.2012 13:16:00

Спросить коротко: как настроить MT, чтобы он отвечал на ARP-запросы по .222 (воину) в локальную сеть? (Когда я просто добавляю статический ARP-запись на ПК, всё начинает работать, но это плохое решение). Просто включить proxy-arp недостаточно. Пожалуйста…

rjickity Guest	#9 0 22.02.2012 13:28:00 Можешь поделиться своей конфигурацией? У меня тоже не получается настроить roadwarrior IPsec на моём устройстве.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры