+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Взаимодействие IPSec VPN

Взаимодействие IPSec VPN, RouterOS

Uqbar

Guest

05.05.2015 09:39:00

Я пытаюсь настроить site-to-site IPSec VPN между Mikrotik v6.28 и Gateprotect v9.4. Мне удалось сделать site-to-site IPSec VPN между двумя Mikrotik. На стороне Mikrotik у меня:

PROPOSAL:
Auth. Algo: SHA1;
Encr. Algo: 3DES;
Lifetime: по умолчанию (00:30:00);
PFS: Modp1024

PEER:
Destination: 2.2.2.2;
Port: 500;
Auth. method: PSK;
Passive: нет;
Secret: что-то;
Policy TG: по умолчанию;
Exchange mode: main;
Send initial contact: да;
Proposal check: obey;
Hash algo: SHA1;
Encr. Algo: 3DES

POLICY:
Src Addr: 172.16.9.0/24;
Dst Addr: 172.16.6.0/24;
Action: encrypt;
Level: require;
IPSec Proto: AH+ESP;
Tunnel: да;
SA Src Addr: 1.1.1.1;
SA Dst Addr: 2.2.2.2;
Proposal: по умолчанию (тот, что описан выше)

Далее настроил Firewall:
NAT:
Chain: srcnat;
Src Addr: 172.16.9.0/24;
Dst Addr: 172.16.6.0/24;
Action: accept

На стороне Gateprotect у меня не совсем то же самое, но:
Local network: 172.16.6.0/24
Remote network:
Destination: 1.1.1.1;
Network: 172.16.9.0/24;
Do not initiate: да;
Authentication:
Type: PSK;
Preshared key: что-то;
Cryptography:
ISAKMP: IKEv1;
Crypto Algo: 3DES;
Auth. Algo: SHA1;
DH Group: MODP 1024;
Lifespan: 7800s;
IPSec Cryp. Algo: 3DES;
IPSec Auth. Algo: SHA1;
Validity period: 3600s;
PFS: да;
PFS Group: MODP 1024
Advanced:
Compression: нет

В логах Mikrotik соединение отображается как «up», а в GUI Gateprotect — как «down». На обоих устройствах видно «ISAKMP_SA established», но трафик между двумя локальными сетями не идет.

Этого достаточно, и мне просто нужно подправить маршрутизацию или firewall? Как лучше провести диагностику?

mrz

Guest

21.05.2015 15:26:00

Посмотри в разделе remote-peers, и если статус «established», значит фаза 1 прошла успешно. Проверь installed-sas — если там два SA с валидными номерами SPI, фаза 2 тоже прошла. Если что-то не так, включи ipsec debug логи, чтобы понять, какие параметры не совпадают. Если обе фазы (1 и 2) успешно установлены, но трафика на SA нет, значит проблема не в ipsec — пакеты не соответствуют заданным политикам, либо неправильный исходный или назначенный адрес, либо пакеты прошли через NAT.

mariusmoise Guest	#3 0 12.06.2015 16:46:00 Привет, у меня такая же проблема между Mikrotik и Gateprotect. IPSec Remote Peer показывает статус «установлено», но в IPsec SA в полях Authentication Algorithm и Encr. Algorithm стоит «нет», а также отсутствуют Auth Key и Encr. Key.

mariusmoise

Guest

16.06.2015 05:53:00

Первая фаза проходит успешно, но на второй фазе возникает ошибка: «fatal INVALID-MESSAGE-ID notify message, phase1 should be deleted», а в установленных SA на этапах аутентификации и шифрования все поля отображаются как «none». Кто-нибудь ещё сталкивался с такой ситуацией?

mariusmoise Guest	#5 0 16.06.2015 09:58:00 В нашем случае проблема была в том, что с их стороны нужно было выбрать «Site-to-Site VPN», а не «Client-to-Site».

smichelsza

Guest

14.07.2015 08:18:00

У меня такая ситуация с версией 6.30 — надеюсь, вы сможете помочь (проблема с односторонним подключением через IPSec туннель).

Ссылаясь на вышеописанное:
Пункт 1: успешно
Пункт 2: успешно (см. ниже)

Получается, что Фаза 1 и Фаза 2 прошли успешно, и IPSec туннель установлен между двумя сетями по обе стороны туннеля (в данном случае 192.168.109.0/24 и 192.168.12.0/24). Пинги ICMP успешны в одном направлении — с удалённой сети на локальную — (я вижу в torch, что ICMP-пакеты доходят до пингованного IP). Однако, когда я пингую удалённый хост из локальной сети (с адресами источника и назначения, соответствующими политике для IP-пиров, то есть src=192.168.12.253 пингует 192.168.109.1 или 192.168.109.5), создаётся SPI с значением 0.

Как будто ICMP-трафик пинга (с правильными исходным и целевым IP) не проходит в SA, которая была установлена для туннелирования трафика в удалённую сеть.

/ip ipsec installed-sa print
Flags: A - AH, E - ESP
0 E spi=0xAB68DB8 src-address=RemotePublicIP:1024 dst-address=local:4500 state=mature auth-algorithm=sha1 enc-algorithm=3des auth-key=“52f6f6859dff1b7b94c2f2b75d18deacf1d7ebe1” enc-key=“7b5f6409026a9f124e61c62260d22a9a7f51094287c3146d” add-lifetime=48m/1h replay=128
1 E spi=0xBB85FE16 src-address=local:4500 dst-address=RemotePublicIP:1024 state=mature auth-algorithm=sha1 enc-algorithm=3des auth-key=“482fd2f66129ebde0aab1479e08eec09a5cebb59” enc-key=“d51cc03138521a59bfd0c2a41abb6c8f25dbe18a1821ee66” add-lifetime=48m/1h replay=128
2 E spi=0 src-address=localPublicIP:8 dst-address=RemotePublicIP state=larval add-lifetime=0s/30s replay=128

SPI=0 формируется временно для пинга с локальной стороны на удалённую, вместо того чтобы идти через spi=0xBB85FE16.

Активных правил фильтрации firewall нет, есть только одно правило обхода NAT (action=accept) на позиции 0:
0 chain=srcnat action=accept src-address=192.168.12.0/24 dst-address=192.168.109.0/24 log=no log-prefix=“”
1 ;;; default configuration
chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway log=no log-prefix=“”

Подскажите, пожалуйста, что ещё проверить.

nriedman Guest	#7 0 11.08.2016 14:18:00 Есть ли какие-то обновления по этой теме? У нас тоже возникла проблема между MT и Cisco ASA. Удалённый пир показывает установленное соединение, у нас есть SAs, но в журнале отладки ipsec постоянно появляется следующее: Aug/11/2016 14:05:50 ipsec,debug initiate new phase 2 negotiation: 173.165.127.60[500]<=>198.182.15.249[500] Aug/11/2016 14:05:50 ipsec,debug pfkey GETSPI succeeded: ESP/Tunnel 198.182.15.249[500]->173.165.127.60[500] spi=108686035(0x67a6ad3) Aug/11/2016 14:05:50 ipsec,debug sent phase2 packet 173.165.127.60[500]<=>198.182.15.249[500] 198523ea44f00e30:ae6d6337e2f1f8e0:0000f2e0 Aug/11/2016 14:05:50 ipsec,debug fatal INVALID-ID-INFORMATION notify message, phase1 should be deleted. Aug/11/2016 14:05:50 ipsec,debug Message: '1 v P_+ # %h o } h \ zj p p p - Y TA Q g [ u P\ '. Aug/11/2016 14:06:00 ipsec,debug resent phase2 packet 173.165.127.60[500]<=>198.182.15.249[500] 198523ea44f00e30:ae6d6337e2f1f8e0:0000f2e0 Aug/11/2016 14:06:00 ipsec,debug fatal INVALID-ID-INFORMATION notify message, phase1 should be deleted. Aug/11/2016 14:06:00 ipsec,debug Message: '1 v P_+ # %h o } h \ zj p p p - Y TA Q g [ u P\ '. Aug/11/2016 14:06:10 ipsec,debug resent phase2 packet 173.165.127.60[500]<=>198.182.15.249[500] 198523ea44f00e30:ae6d6337e2f1f8e0:0000f2e0 Aug/11/2016 14:06:10 ipsec,debug fatal INVALID-ID-INFORMATION notify message, phase1 should be deleted. Aug/11/2016 14:06:10 ipsec,debug Message: '1 v P_+ # %h o } h \ zj p p p - Y TA Q g [ u P\ '. Aug/11/2016 14:06:20 ipsec,debug 198.182.15.249 сдается получить IPsec-SA из-за времени ожидания. Есть идеи??

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры