+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблемы с IPSEC на hAP и Bintec RS123

Проблемы с IPSEC на hAP и Bintec RS123, RouterOS

se232

Guest

18.09.2015 17:04:00

У меня проблемы с установкой рабочей связи между Mikrotik hAP и роутером Bintec RS123. Сам VPN-туннель устанавливается, но я не могу наладить TCP-соединение между компьютером в сети роутера Bintec и NAS в сети роутера Mikrotik. Настройка следующая: Bintec RS123: сеть 10.1.0.0/16, подключение к интернету через кабель Mikrotik hAP: 6.32.1: сеть 10.3.0.0/16, подключение к интернету через LTE IPSEC туннель стабилен, пинг работает, но TCP-соединение (http или https) между 10.1.1.15 (Windows ПК) и 10.3.1.11 (NAS) не устанавливается.

Два странных наблюдения:
1) Всё работает, если активен Torch на hAP
2) Раньше у меня был mAP вместо hAP с ограничением размера пакета 0-1438 в NAT-правиле. Работало отлично, но мне нужно было больше Ethernet-портов. hAP ведёт себя совсем иначе.

Кто-нибудь знает, какие настройки нужно изменить, чтобы туннель нормально заработал? Спасибо!

se232

Guest

21.11.2016 15:15:00

Привет, Discmandj! Прошло уже довольно много времени с тех пор, как я работал с Mikrotik и маршрутизатором Bintec. Насколько помню, проблемы со второй фазой решались выбором правильного шифрования с обеих сторон. Я еще посмотрю, если найду старые резервные копии роутеров. У меня ушло несколько дней, чтобы подобрать правильную комбинацию.

Очень помогала функция логирования на Bintec (он был приемником с фиксированным IP, а Mikrotik – «звонящим» с динамически меняющимся IP). К сожалению, в Bintec нужно переключаться между двумя веб-интерфейсами, чтобы увидеть самые свежие записи.

Моя проблема была в том, что связь была стабильной, но из-за настройки fastrack в файрволе терялось много пакетов. Если столкнешься с похожими проблемами (после того, как решишь вопросы второй фазы), просто отключи fastrack, и все будет работать отлично.

С уважением, Стефан

se232

Guest

21.11.2016 18:50:00

Привет, Discmandj, нашёл резервные файлы, но… файл с Mikrotik зашифрован, и я не могу в нём разобраться, а файл с Bintec — просто текстовый, но в нём нет нормальной структуры. Возможно, следующий фрагмент тебе немного поможет:

[…]
ikeProposalTable;ikePropIndex;ikePropNextChoice;ikePropDescription;ikePropEncAlg;ikePropHashAlg;ikePropGroup;ikePropAuthMethod;ikePropEncKeySize;ikePropEncKeySizeMin;ikePropEncKeySizeMax
0;1;0;“3DES/SHA1”;des3_cbc;sha1;2;default;192;192;192
1;2;1;“AES-128/SHA1”;aes_cbc;sha1;2;default;128;128;128
2;3;2;“AES-192/SHA1”;aes_cbc;sha1;2;default;192;192;192
3;4;3;“AES-256/SHA1”;aes_cbc;sha1;2;default;256;256;256
4;5;0;“3DES/MD5”;des3_cbc;md5;2;default;192;192;192
5;6;5;“AES/MD5”;aes_cbc;md5;2;default;128;128;256
6;7;6;“AES-256/SHA1”;aes_cbc;sha1;2;default;256;256;256
7;8;20;“AES/SHA1”;aes_cbc;sha1;2;default;128;128;256
8;9;0;“AES/MD5”;aes_cbc;md5;2;default;128;128;256
9;15;22;“AES-128/SHA1”;aes_cbc;sha1;2;default;128;128;128
10;20;0;“3DES/SHA1”;des3_cbc;sha1;2;default;192;192;192
11;22;0;“3DES/SHA1”;des3_cbc;sha1;2;default;192;192;192
[…]

ipsecTrafficTable;ipsecTrIndex;ipsecTrNextIndex;ipsecTrDescription;ipsecTrLocalAddress;ipsecTrLocalMaskLen;ipsecTrLocalRange;ipsecTrRemoteAddress;ipsecTrRemoteMaskLen;ipsecTrRemoteRange;ipsecTrProto;ipsecTrLocalPort;ipsecTrRemotePort;ipsecTrAction;ipsecTrProposal;ipsecTrForceTunnelMode;ipsecTrLifeTime;ipsecTrGranularity;ipsecTrKeepAlive;ipsecTrInterface;ipsecTrDirection;ipsecTrLocalAddressType;ipsecTrRemoteAddressType;ipsecTrProfile;ipsecTrCreator
ipsecProposalTable;ipsecPropIndex;ipsecPropNext;ipsecPropDescription;ipsecPropProto;ipsecPropIpcomp;ipsecPropEspAes;ipsecPropEspTwofish;ipsecPropEspBlowfish;ipsecPropEspCast;ipsecPropEspDes3;ipsecPropEspDes;ipsecPropEspNull;ipsecPropEspRijndael;ipsecPropEspMd5;ipsecPropEspSha1;ipsecPropEspNoMac;ipsecPropAhMd5;ipsecPropAhSha1;ipsecPropIpcompDeflate;ipsecPropAesKeySize;ipsecPropAesKeySizeMin;ipsecPropAesKeySizeMax;ipsecPropBlowfishKeySize;ipsecPropBlowfishKeySizeMin;ipsecPropBlowfishKeySizeMax;ipsecPropTwofishKeySize;ipsecPropTwofishKeySizeMin;ipsecPropTwofishKeySizeMax
0;1;0;“ESP(3DES/SHA1)”;esp;disabled;0;0;0;0;1;0;0;-1;0;1;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
1;2;1;“ESP(AES/MD5)”;esp;disabled;1;0;0;0;0;0;0;-1;1;0;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
2;3;2;“ESP(-ALL-/-ALL-)”;esp;disabled;1;4;3;5;2;6;0;-1;1;2;0;0;1;0;aes192;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
3;4;0;“ESP(3DES/SHA1)”;esp;disabled;0;0;0;0;1;0;0;-1;0;1;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
4;5;4;“ESP(AES/SHA1)”;esp;disabled;1;0;0;0;0;0;0;-1;0;1;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
5;6;5;“ESP(AES-256/SHA1)”;esp;disabled;1;0;0;0;0;0;0;-1;0;1;0;1;0;0;aes256;aes256;aes256;128;40;448;twofish128;twofish128;twofish256
6;7;0;“ESP(AES/MD5)”;esp;disabled;1;0;0;0;0;0;0;-1;1;0;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
7;8;10;“ESP(AES/SHA1)”;esp;disabled;1;0;0;0;0;0;0;-1;0;1;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
8;9;0;“ESP(AES/MD5)”;esp;disabled;1;0;0;0;0;0;0;-1;1;0;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
9;10;9;“ESP(AES/MD5)”;esp;disabled;1;0;0;0;0;0;0;-1;1;0;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
10;11;14;“ESP(3DES/SHA1)”;esp;disabled;0;0;0;0;1;0;0;-1;0;1;0;1;0;0;aes128;aes128;aes256;128;40;448;twofish128;twofish128;twofish256
11;14;0;“ESP(AES-128/SHA1)”;esp;disabled;1;0;0;0;0;0;0;-1;0;1;0;1;0;0;aes128;aes128;aes128;128;40;448;twofish128;twofish128;twofish256
[…]

ikeProfileTable;ikePrfIndex;ikePrfDescription;ikePrfAuthMethod;ikePrfMode;ikePrfProposal;ikePrfGroup;ikePrfCert;ikePrfLocalId;ikePrfCaCerts;ikePrfLifeTime;ikePrfPfsIdentity;ikePrfHeartbeats;ikePrfBlockTime;ikePrfNatT;ikePrfMtuMax;ikePrfLifeSeconds;ikePrfLifeKBytes;ikePrfLifePolicy
0;1;“XXXXXXXX”;pre_sh_key;id_protect;7;2;0;“[ www.XXXXXX.XXX ]”;;-1;default;auto;30;enabled;0;14400;0;loose
[…]

Первый блок, кажется, — это фаза 1, второй — фаза 2, а третий — информация о времени жизни. Тогда у меня был предварительно общий ключ, и всё работало нормально → тем не менее я поменял все свои роутеры на Mikrotik и продал Bintec RS123. С уважением, Стефан.

Discmandj

Guest

21.11.2016 21:09:00

Привет, Stefan, спасибо за ответ. Сегодня мне всё-таки удалось всё настроить. Наконец-то объясню, что произошло сегодня. Во-первых, в моём фаерволе не включён fasttrack. Шифрование на обеих сторонах совпадало, но соединение не устанавливалось :S Я поставил в политике на стороне Mikrotik src и dst IP на 0.0.0.0/0, а на стороне Bintec отключил IP forwarding на IPsec. Получилась динамическая политика только с dst IP, пинг с Mikrotik до Bintec проходил, а в обратную сторону нет. Когда IP на обеих сторонах совпадал, туннель не устанавливался. Потом я включил IP forwarding на Bintec для нужных dst и src IP, а на стороне Mikrotik оставил 0.0.0.0/0 и для dst, и для src. В итоге получил динамическую политику, как хотел, IPsec поднялся, и соединение отлично работает. Переключение всего на Mikrotik — лучшее, что вы могли сделать, LOL. Мы — IT-компания из Липпштадта, Германия, и используем только оборудование Mikrotik. Но в этом случае пришлось работать с Bintec, потому что один клиент настаивает именно на этом, а другая филиальная точка не хочет менять Bintec на Mikrotik. Ещё раз спасибо за ответ, желаю отличного дня. С уважением, Ali

hackbeard Guest	#5 0 27.11.2017 16:27:00 Как ты настраивал роутеры BinTec и MikroTik? У меня не получается завести IPsec-туннель... Аппаратно почти такая же конфигурация, как у тебя. Может, поделишься своей настройкой? Спасибо!

se232 Guest	#6 0 28.11.2017 12:31:00 Попробуйте выключить правило(а) Fasttrack в разделе вашего брандмауэра. У меня были похожие проблемы (давно это было).

se232 Guest	#7 0 28.11.2017 12:33:00 Попробуйте отключить правило Fasttrack в разделе Firewall на роутере Mikrotik.

Discmandj Guest	#8 0 20.11.2016 11:56:00 Привет, может кто-то поделиться конфигурацией для IPSec туннеля между Mikrotik RouterBoard и роутером Bintec? Я уже настроил этот туннель, но постоянно получаю ошибку: фаза 2 не устанавливается. Спасибо!

OlofL Guest	#9 0 01.12.2015 08:12:00 Тред огромный, почему бы просто не ответить здесь?

se232 Guest	#10 0 01.12.2015 08:17:00 Я решил проблему, отключив правило(а) fasttrack. Теперь всё работает нормально.

jarda

Guest

#11

01.12.2015 13:13:00

Потому что объяснение тоже может быть большим. Лучше сначала прочитать, а потом задавать конкретные вопросы, если что-то непонятно, вместо того чтобы просить других переписать то, что уже было написано, не читая.

se232 Guest	#12 0 01.12.2015 13:39:00 Думаю, моё описание проблемы ясно указывало на конкретную задачу. Вместо того чтобы получить подробный ответ, мне пришлось искать рабочее решение методом проб и ошибок.

jarda Guest	#13 0 01.12.2015 17:34:00 Это обычно самый быстрый способ. Плюс вы получаете новые знания, так что это ещё и очень познавательно.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры