+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Базовая конфигурация IPsec не работает в 2.9.10.

Базовая конфигурация IPsec не работает в 2.9.10., RouterOS

mag

Guest

23.12.2005 10:59:00

Конфигурация IPsec VPN из примеров руководства (http://www.mikrotik.com/docs/ros/2.9/ip/ipsec.content#5.44.8.2) у меня не работает. Пакеты отбрасываются. Сценарий очень простой: LAN - 10.10.1.1/24-(R1)-x.y.z.157 - DSL - x.y.z.160-(R2)-10.10.5.1/24 - конфигурация брандмауэра маршрутизатора 1 / ip firewall nat:

add chain=srcnat src-address=10.10.1.0/24 dst-address=10.10.5.0/24 action=accept comment="" disabled=no
add chain=srcnat out-interface=t-dsl-business action=masquerade comment="" disabled=no

/ ip ipsec policy
add src-address=10.10.1.0/24:any dst-address=10.10.5.0/24:any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=x.y.z.157 sa-dst-address=x.y.z.160 proposal=default
manual-sa=none dont-fragment=clear disabled=no

/ ip ipsec peer
add address=x.y.z.160/32:500 secret="qwertzuiopasdfghjkl" generate-policy=no exchange-mode=aggressive
send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024
lifetime=1d lifebytes=0 disabled=no

/ ip ipsec proposal
add name="default" auth-algorithms=md5 enc-algorithms=3des lifetime=30m lifebytes=0 pfs-group=modp1024
disabled=no
конфигурация маршрутизатора 2 / ip firewall nat:

add chain=srcnat src-address=10.10.5.0/24 dst-address=10.10.1.0/24 action=accept
add chain=srcnat out-interface=t-dsl-business action=masquerade

/ ip ipsec policy
add src-address=10.10.5.0/24:any dst-address=10.10.1.0/24:any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=x.y.z.160 sa-dst-address=x.y.z.157 proposal=default
manual-sa=none dont-fragment=clear disabled=no
/ ip ipsec peer
add address=x.y.z.157/32:500 secret="qwertzuiopasdfghjkl" generate-policy=no exchange-mode=aggressive
send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024
lifetime=1d lifebytes=0 disabled=no
/ ip ipsec proposal
add name="default" auth-algorithms=md5 enc-algorithms=3des lifetime=30m lifebytes=0 pfs-group=modp1024
disabled=no
Проверено с помощью пинга с обеих сторон. Маршрутизатор 1: /ping 10.10.5.1 src-address=10.10.1.4

11:40:00 ipsec,ike,info initiating phase 2 (src x.y.z.157) (dst x.y.z.160)
11:40:00 ipsec,info ipsec packet discarded: src=10.10.1.4 dst=10.10.5.1
11:40:00 ipsec,ike,info received ISAKMP packet from x.y.z.160:500, phase 2, Quick
11:40:01 ipsec,info ipsec packet discarded: src=10.10.1.4 dst=10.10.5.1
11:40:02 ipsec,info ipsec packet discarded: src=10.10.1.4 dst=10.10.5.1
11:40:03 ipsec,info ipsec packet discarded: src=10.10.1.4 dst=10.10.5.1
Маршрутизатор 2: /ping 10.10.1.4 src-address=10.10.5.1

10:39:00 ipsec,ike,info initiating phase 2 (src x.y.z.160) (dst x.y.z.157)
10:39:01 ipsec,ike,info received ISAKMP packet from x.y.z.157:500, phase 2, Quick
10:39:01 ipsec,info ipsec packet discarded: src=10.10.5.1 dst=10.10.1.4
10:39:02 ipsec,info ipsec packet discarded: src=10.10.5.1 dst=10.10.1.4
Под ip ipsec installed-sa только направление=in-SA установлено на обоих маршрутизаторах. Есть какие-нибудь идеи? Что-то упускаю?

Tonda Guest	#2 0 23.12.2005 11:10:00 У меня та же проблема, я уже написал в поддержку Mikrotik…

mag Guest	#3 0 23.12.2005 11:39:00 Хм, у меня несколько MT работают с IPsec на 2.9.8, а в журнале изменений про IPsec вообще ничего нет! Только что написал в техподдержку. Обновление: откатился обратно на 2.8.8 и IPsec заработал снова!

Tonda Guest	#4 0 25.12.2005 18:12:00 Поддержка ответила: Спасибо за сообщение об ошибке. Эта проблема подтверждена и будет исправлена в будущих версиях.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры