Привет, ребята, мне снова нужна ваша помощь:
Ситуация: Routerboard, ОС: 2.9.8.
Wan: ADSL - Динамический IP с Dyndns, работает нормально.
Динамическое разрешение: через скрипт changeip - работает отлично, спасибо.
Lan: 192.168.0.0/24.
Другая сторона: Hotbrick 401.
VPN Static IP: 201.216.201.177.
Маска: 255.255.255.240.
Не получается настроить VPN-туннель.
=============================================
Конфигурация на MTK [fvazquez@MikroTik]
ip ipsec peer> pri
Flags: X - disabled
0 address=201.216.201.177/32:500
secret=“abentus”
generate-policy=yes
exchange-mode=main
send-initial-contact=yes
proposal-check=obey
hash-algorithm=md5
enc-algorithm=des
dh-group=modp768
lifetime=3m
lifebytes=0
[fvazquez@MikroTik]
ip ipsec policy> pri
Flags: X - disabled, D - dynamic, I - invalid
0 src-address=192.168.0.0/24:any
dst-address=192.168.1.0/24:any
protocol=all
action=encrypt
level=require
ipsec-protocols=esp
tunnel=yes
sa-src-address=201.250.109.54
sa-dst-address=201.216.201.177
proposal=Hotbrick
manual-sa=none
dont-fragment=clear
1 name=“Hotbrick”
auth-algorithms=md5
enc-algorithms=des
lifetime=5m
lifebytes=0
pfs-group=modp768
[fvazquez@MikroTik]
ip firewall nat> pri
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat
src-address=192.168.0.0/24
dst-address=192.168.1.0/24
action=accept
1 chain=srcnat
src-address=10.1.0.0/24
action=masquerade
2 chain=srcnat
src-address=192.168.0.0/24
action=masquerade
3 ;;; Redireccionamiento de Proxy
chain=dstnat
protocol=tcp
dst-port=80
action=redirect
to-ports=8080
=============================================
Конфигурация на Hotbrick
Remote IP: pilar.dyndns.pro
Remote Network: 192168.0.0/24
Local IP: 201.216.201.177
Local Network: 192.168.1.0/24
Auth. Algo: MD5
Encription Alg: des
IKE Preshared Key=‘abentus’
Lifetime: 180 seg
IKE Group: DH768
PFS Group: NONE
=============================================
Когда я пытаюсь пропинговать с CMD внутренний IP с другой стороны, в логе видно:
Log
10:42:53 ipsec,ike,info queuing SA request, phase 1 with peer 201.216.201.177 will be established first
10:42:53 ipsec,ike,info initiating phase 1, starting mode Identity Protection (local 201.250.109.54:500) (remote unknown)
10:42:53 ipsec,info ipsec packet discarded: src=192.168.0.48 dst=192.168.1.1
10:42:59 ipsec,info ipsec packet discarded: src=192.168.0.48 dst=192.168.1.1
10:43:04 ipsec,info ipsec packet discarded: src=192.168.0.48 dst=192.168.1.1
Что я делаю не так?
Жду вашей помощи.
Fernando
Ситуация: Routerboard, ОС: 2.9.8.
Wan: ADSL - Динамический IP с Dyndns, работает нормально.
Динамическое разрешение: через скрипт changeip - работает отлично, спасибо.
Lan: 192.168.0.0/24.
Другая сторона: Hotbrick 401.
VPN Static IP: 201.216.201.177.
Маска: 255.255.255.240.
Не получается настроить VPN-туннель.
=============================================
Конфигурация на MTK [fvazquez@MikroTik]
ip ipsec peer> pri
Flags: X - disabled
0 address=201.216.201.177/32:500
secret=“abentus”
generate-policy=yes
exchange-mode=main
send-initial-contact=yes
proposal-check=obey
hash-algorithm=md5
enc-algorithm=des
dh-group=modp768
lifetime=3m
lifebytes=0
[fvazquez@MikroTik]
ip ipsec policy> pri
Flags: X - disabled, D - dynamic, I - invalid
0 src-address=192.168.0.0/24:any
dst-address=192.168.1.0/24:any
protocol=all
action=encrypt
level=require
ipsec-protocols=esp
tunnel=yes
sa-src-address=201.250.109.54
sa-dst-address=201.216.201.177
proposal=Hotbrick
manual-sa=none
dont-fragment=clear
1 name=“Hotbrick”
auth-algorithms=md5
enc-algorithms=des
lifetime=5m
lifebytes=0
pfs-group=modp768
[fvazquez@MikroTik]
ip firewall nat> pri
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat
src-address=192.168.0.0/24
dst-address=192.168.1.0/24
action=accept
1 chain=srcnat
src-address=10.1.0.0/24
action=masquerade
2 chain=srcnat
src-address=192.168.0.0/24
action=masquerade
3 ;;; Redireccionamiento de Proxy
chain=dstnat
protocol=tcp
dst-port=80
action=redirect
to-ports=8080
=============================================
Конфигурация на Hotbrick
Remote IP: pilar.dyndns.pro
Remote Network: 192168.0.0/24
Local IP: 201.216.201.177
Local Network: 192.168.1.0/24
Auth. Algo: MD5
Encription Alg: des
IKE Preshared Key=‘abentus’
Lifetime: 180 seg
IKE Group: DH768
PFS Group: NONE
=============================================
Когда я пытаюсь пропинговать с CMD внутренний IP с другой стороны, в логе видно:
Log
10:42:53 ipsec,ike,info queuing SA request, phase 1 with peer 201.216.201.177 will be established first
10:42:53 ipsec,ike,info initiating phase 1, starting mode Identity Protection (local 201.250.109.54:500) (remote unknown)
10:42:53 ipsec,info ipsec packet discarded: src=192.168.0.48 dst=192.168.1.1
10:42:59 ipsec,info ipsec packet discarded: src=192.168.0.48 dst=192.168.1.1
10:43:04 ipsec,info ipsec packet discarded: src=192.168.0.48 dst=192.168.1.1
Что я делаю не так?
Жду вашей помощи.
Fernando
