+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Помогите с обходом NAT для IPSec.

Помогите с обходом NAT для IPSec., RouterOS

iluvar

Guest

04.08.2012 07:32:00

Привет! Помоги, пожалуйста, настроить IPSec через alien NAT-роутер.

Схема:

МОЙ ОФИС: Мой RB1 ether1 LAN 192.168.0.1/24
Мой RB1 ether2 WAN 8.8.0.1/32

УДАЛЕННЫЙ ОФИС: Мой RB2 ether1 LAN 192.168.1.1/24
Alien RB3 ether1 LAN 192.168.1.2/24
Alien RB3 ether2 WAN 8.8.1.1/32
Alien RB3 должен выдавать NAT в удалённом офисе.

Как создать VPN-туннель через NAT?

Мой RB1:
`/ip address add address=192.168.0.1/24 interface=ether1`
`add address=8.8.0.1/30 interface=ether2`
`/ip route add gateway=8.8.0.2`
`/ip firewall nat add chain=srcnat out-interface=ether2 action=masquerade`

Мой RB2:
`/ip address add address=192.168.1.1/24 interface=ether1`
`/ip route add gateway=192.168.1.2`

Alien RB3:
`/ip address add address=192.168.1.2/24 interface=ether1`
`add address=8.8.1.1/30 interface=ether2`
`/ip route add gateway=8.8.1.2`
`/ip firewall nat add chain=srcnat out-interface=ether2 action=masquerade`

IPSec Peer’s config

Мой RB1:
`/ip ipsec peer add address=8.8.1.1(???)/32 port=500 auth-method=pre-shared-key secret=“test”`

Мой RB2:
`/ip ipsec peer add address=8.8.0.1/32 port=500 auth-method=pre-shared-key secret=“test”`

Policy and proposal

Мой RB1:
`/ip ipsec policy add src-address=192.168.0.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any sa-src-address=8.8.0.1 sa-dst-address=8.8.1.1(???) tunnel=yes action=encrypt proposal=default`

Мой RB2:
`/ip ipsec policy add src-address=192.168.1.0/24 src-port=any dst-address=192.168.0.0/24 dst-port=any sa-src-address=8.8.1.1(???) sa-dst-address=8.8.0.1 tunnel=yes action=encrypt proposal=default`

NAT Bypass

Мой RB1:
`/ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.0.0/24 dst-address=192.168.0.0/24`

Alien RB3(???):
`/ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.1.0/24 dst-address=192.168.0.0/24`

Пожалуйста, проверь мою настройку, я не понимаю всю схему NAT-T.

Я не могу перевести:
`8.8.1.1(???)/32`
`8.8.1.1(???)`
`Alien RB3(???):`

badea

Guest

03.03.2013 17:09:00

Привет, может кто-нибудь выложит решение для этого кейса, пожалуйста? У меня похожая ситуация, и я не могу понять, как это решить. Очевидно, адрес RB2 из приведённого выше примера должен быть в сети 192.168.2.0/24. Интересно то, что когда я пытаюсь подключиться к удалённому офису (к 192.168.1.1/24), оба роутера ненадолго показывают активное подключение в окне Remote Peers, но реального подключения нет.

CelticComms Guest	#3 0 04.03.2013 04:03:00 Выложите свои реальные конфиги (вывод из /export compact) и описание ситуации. Вариантов слишком много, чтобы гадать с IPsec.

badea

Guest

04.03.2013 07:29:00

Окей, вот моя ситуация: Офисный роутер MT1 <----------------------------> D-link Роутер — Домашний роутер MT2 (за NAT).

Вывод Router MT1 RouterOS 5.24
`/ip ipsec proposal set [ find default=yes ] auth-algorithms=md5`
`/ip address add address=Public_MT1/25 interface=ether1`
`add address=192.168.1.1/24 interface=ether2`
`/ip firewall filter add chain=input comment=“Ip-Sec-UDP 500” dst-port=500 protocol=udp`
`add chain=input comment=Ip-Sec-ESP protocol=ipsec-esp`
`add chain=input comment=Ip-Sec-AH protocol=ipsec-ah`
`add chain=input comment=VPN-pptp dst-port=1723 protocol=tcp`
`add chain=input comment=“Added by webbox” protocol=icmp`
`add chain=input comment=“Added by webbox” connection-state=established in-interface=ether1`
`add chain=input comment=“Added by webbox” connection-state=related in-interface=ether1`
`add action=drop chain=input comment=“Added by webbox” disabled=yes in-interface=ether1`
`add action=jump chain=forward comment=“Added by webbox” in-interface=ether1 jump-target=customer`
`add chain=customer comment=“Added by webbox” connection-state=established`
`add chain=customer comment=“Added by webbox” connection-state=related`
`add action=drop chain=customer comment=“Added by webbox” disabled=yes`
`/ip firewall nat add chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.1.0/24`
`add action=masquerade chain=srcnat out-interface=ether1`
`/ip ipsec peer add address=Public_Address_of_DLink/32 dpd-interval=10s dpd-maximum-failures=15 exchange-mode=aggressive nat-traversal=yes secret=***`
`/ip ipsec policy add dst-address=192.168.0.0/24 sa-dst-address=Public_Address_of_DLink sa-src-address= Public_addr_MT1 src-address=192.168.1.0/24 tunnel=yes`

Вывод Router MT2 RouterOS 5.24
`/ip ipsec proposal set [ find default=yes ] auth-algorithms=md5`
`/interface pptp-server server set enabled=yes`
`/ip address add address=192.168.8.50/24 interface=ether1`
`add address=192.168.0.1/24 interface=ether2`
`/ip firewall filter add chain=input comment=rdp dst-address=192.168.0.9 dst-port=3389 protocol=tcp`
`add chain=input comment=VPN-PPTP dst-port=1723 protocol=tcp`
`add chain=input comment=“Ip-Sec- UDP 500” dst-port=500 protocol=udp`
`add chain=input comment=Ip-Sec-Esp protocol=ipsec-esp`
`add chain=input comment=Ip-Sec-AH protocol=ipsec-ah`
`add chain=forward comment=“port mapping na 0.9” dst-address=192.168.0.9 dst-port=3389 protocol=tcp`
`add chain=input comment=“Added by webbox” protocol=icmp`
`add chain=input comment=“Added by webbox” connection-state=established in-interface=ether1`
`add chain=input comment=“Added by webbox” connection-state=related in-interface=ether1`
`add action=drop chain=input comment=“Added by webbox” disabled=yes in-interface=ether1`
`add action=jump chain=forward comment=“Added by webbox” in-interface=ether1 jump-target=customer`
`add chain=customer comment=“Added by webbox” connection-state=established`
`add chain=customer comment=“Added by webbox” connection-state=related`
`add action=drop chain=customer comment=“Added by webbox” disabled=yes`
`add action=drop chain=input protocol=tcp src-address=125.210.0.0`
`add chain=input dst-address=0.0.0.0 dst-port=“” port=“” protocol=tcp src-address=0.0.0.0 src-port=“”`
`/ip firewall nat add chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24`
`add chain=srcnat disabled=yes dst-address=192.168.8.0/24 src-address= 192.168.0.0/24`
`add chain=srcnat out-interface=ether1`
`add action=dst-nat chain=dstnat comment=RDP dst-port=42107 in-interface=ether1 protocol=tcp to-addresses=192.168.0.9 to-ports=3389`
`add action=dst-nat chain=dstnat comment=RDP dst-port=42154 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=3389`
`/ip ipsec peer add address=Public_addr_MT1/32 dpd-interval=10s dpd-maximum-failures=15 exchange-mode=aggressive nat-traversal=yes secret=**** send-initial-contact=no`
`/ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=Public_addr_MT1 sa-src-address= Public_Address_of_DLink src-address=192.168.0.0/24 tunnel=yes`
`/ppp secret add local-address=192.168.100.1 name=*** password=*** profile= default-encryption remote-address=192.168.100.2 service=pptp`
`add local-address=192.168.100.1 name=*** password=*** profile= default-encryption remote-address=192.168.100.3 service=pptp`

D-Link Config
LAN IP 192.168.8.1/24
Port Forwarding (TCP/UDP)
1723 - 1723 192.168.8.50 (TCP/UDP)
500 - 500 192.168.8.50 (TCP/UDP)
50 - 50 192.168.8.50 (TCP/UDP)
445 - 445 192.168.8.50 (TCP/UDP)
1701 - 1701 192.168.8.50

iluvar

Guest

04.03.2013 18:01:00

Привет! Попробую помочь. Добавь в MT1: /ip firewall filter add chain=input comment=“Ip-Sec-NatT-UDP 4500” dst-port=4500 protocol=udp Добавь в MT2: /ip firewall filter add chain=input comment=“Ip-Sec-NatT-UDP 4500” dst-port=4500 protocol=udp /ip ipsec peer send-initial-contact=yes /ip ipsec policy sa-src-address=192.168.8.50 /tool netwatch add host=192.168.1.1 interval=5s Удалить из D-Link: (TCP/UDP) 1723 - 1723 192.168.8.50 (TCP/UDP) 500 - 500 192.168.8.50 (TCP/UDP) 50 - 50 192.168.8.50

badea Guest	#6 0 04.03.2013 19:22:00 Спасибо! Остальные настройки не меняются? И нужно ли перенаправлять 4500 порт на D-Link?

iluvar Guest	#7 0 04.03.2013 19:26:00 да нет

badea

Guest

05.03.2013 07:25:00

iluvar Спасибо большое! Кажется, всё в порядке. Я оставил порт 1723 перенаправленным на D-link, потому что у меня несколько клиентов подключаются через VPN pptp. В любом случае, насколько я понимаю, сработало благодаря командам: /ip firewall filter add chain=input comment=“Ip-Sec-NatT-UDP 4500” dst-port=4500 protocol=udp и /tool netwatch add host=192.168.1.1 interval=5s. Я пробовал другие команды раньше, но они не помогли. Не могли бы вы коротко объяснить, зачем нужен порт 4500 и что делает команда netwatch? Спасибо!

iluvar Guest	#9 0 05.03.2013 19:10:00 IpSec работает через Udp500, а IpSec Nat-T – через Udp4500. Пингуем удаленную подсеть – запускаем генерацию ключей и создаем туннель. Простите за мой английский, я из России.

badea

Guest

#10

06.03.2013 15:58:00

Ну и какие проблемы-то? Всё равно, скажи, почему на Д-Линке необязательно открывать порт 4500? И по поводу netwatch: разве туннель не создается автоматически, когда МТ видит "интересующий" траффик? Или это только для IpSec без Nat-T? Спасибо!

iluvar

Guest

#11

07.03.2013 04:29:00

Достаточно, чтобы udp4500 был открыт свне (не заблокирован в файрволе на wan-интерфейсе), а поскольку инициатором выступает устройство за натом (MT2), ответные пакеты от MT1 будут так же пересылаться назад к MT2. Ну собственно, пинг и есть интересующий трафик. Вместо пинга можно было бы отправлять любой пакет в удаленную подсеть, чтобы поднялся туннель. Просто пока пакетов нет — тоннель и не поднимется.

badea

Guest

#12

08.03.2013 15:40:00

Вообще-то (теоретически) инициатором выступает устройство MT1, то есть пользователи из сети 192.168.1.0 (внутренней сети МТ1) подключаются к серверу, который в сети 192.168.0.0 (внутренней сети МТ2). Так что я немного в недоумении (или я не понимаю правильно концепт “инициализации”??).

iluvar Guest	#13 0 09.03.2013 21:11:00 МТ1 не может быть инициатором, потому что МТ2 не виден ему за НАТом. У нас же не стоит перенаправление портов на ДЛинке, поэтому только МТ2 может инициировать первичное соединение.

jayismyson Guest	#14 0 30.03.2013 05:02:00 Спасибо! Остальные настройки не меняются? Runescape Gold \| Diablo 3 Gold \| WoW Gold \| Rs Gold

seaman29

Guest

#15

02.05.2014 21:06:00

Привет, ребята! У меня похожая ситуация: офис, железо неизвестно.

Дом: MikroTik, shrew клиент подключается из дома по sha1, 3des.

Внешний IP: 195.95.95.95

Внешний белый IP: 128.28.28.28 (из-под l2tp beeline)

Внутренние подсети:
10.10.5.0/24
192.168.88.0/24
10.10.0.0/24

Требуется поднять туннель до офиса на домашнем микротике и получить доступ к двум офисным подсетям. Виндовый shrew клиент поднимается, работает. Из логов подсмотрел, что использует sha1 и 3des. Пытался переделать вашу схему под себя, но туннель не поднимается. Помогите, камрады! Заранее благодарю!

Вот мой скрипт микротика касаемо задачи:

`/ip firewall filter`
`add chain=input comment="ipsec mycompany" dst-port=500,1701,1723,4500 protocol=udp src-address=195.95.95.95`
`add chain=input protocol=ipsec-ah src-address=195.95.95.95`
`add chain=input protocol=ipsec-esp src-address=195.95.95.95`
`add chain=input dst-port=500,1701,1723,4500 protocol=tcp src-address=195.95.95.95`

`/ip firewall nat`
`add chain=srcnat dst-address=10.10.5.0/24 src-address=192.168.88.0/24`
`add chain=srcnat dst-address=10.10.0.0/24 src-address=192.168.88.0/24`

`/ip ipsec proposal`
`add enc-algorithms=3des lifetime=1d name=mycompany-proposal`

`/ip ipsec peer`
`add address=195.95.95.95/32 auth-method=pre-shared-key-xauth dpd-interval= 10s dpd-maximum-failures=15 enc-algorithm=3des exchange-mode=aggressive my-id-user-fqdn=VPNGROUP nat-traversal=yes secret=* xauth-login=* xauth-password=*`

`/ip ipsec policy`
`add dst-address=10.10.5.0/24 proposal=mycompany-proposal sa-dst-address= 195.95.95.95 sa-src-address=128.28.28.28 src-address=192.168.88.0/24 tunnel=yes`
`add dst-address=10.10.0.0/24 proposal=mycompany-proposal sa-dst-address= 195.95.95.95 sa-src-address=128.28.28.28 src-address=192.168.88.0/24 tunnel=yes`

seaman29

Guest

#16

04.05.2014 09:32:00

Привет, ребята! У меня похожая ситуация: офис, железо неизвестно.

Дом MikroTik shrew клиент из дома подключается по sha1, 3des. Внешний IP 195.95.95.95.

Внешний белый IP 128.28.28.28 (из-под l2tp beeline).

Внутр_подсеть1 10.10.5.0/24.

Внутр_подсеть 192.168.88.0/24.

Внутр_подсеть2 10.10.0.0/24.

Требуется поднять на домашнем микротике туннель до офиса и получить доступ к двум офисным подсетям. Виндовый shrew клиент поднимается, работает. Из логов подсмотрел, что использует sha1 и 3des. Пытался переиначить вашу схему под себя, но туннель не поднимается. Помогите, камрады. Заранее благодарю!

Вот мой скрипт микротика касаемо задачи:

```
/ip firewall filter
add chain=input comment="ipsec mycompany" dst-port=500,1701,1723,4500 protocol=udp src-address=195.95.95.95
add chain=input protocol=ipsec-ah src-address=195.95.95.95
add chain=input protocol=ipsec-esp src-address=195.95.95.95
add chain=input dst-port=500,1701,1723,4500 protocol=tcp src-address=195.95.95.95

/ip firewall nat
add chain=srcnat dst-address=10.10.5.0/24 src-address=192.168.88.0/24
add chain=srcnat dst-address=10.10.0.0/24 src-address=192.168.88.0/24

/ip ipsec proposal
add enc-algorithms=3des lifetime=1d name=mycompany-proposal

/ip ipsec peer
add address=195.95.95.95/32 auth-method=pre-shared-key-xauth dpd-interval= 10s dpd-maximum-failures=15 enc-algorithm=3des exchange-mode=aggressive my-id-user-fqdn=VPNGROUP nat-traversal=yes secret=* xauth-login=* xauth-password=*

/ip ipsec policy
add dst-address=10.10.5.0/24 proposal=mycompany-proposal sa-dst-address= 195.95.95.95 sa-src-address=128.28.28.28 src-address=192.168.88.0/24 tunnel=yes
add dst-address=10.10.0.0/24 proposal=mycompany-proposal sa-dst-address= 195.95.95.95 sa-src-address=128.28.28.28 src-address=192.168.88.0/24 tunnel=yes
```

iluvar Guest	#17 0 14.07.2014 06:45:00 Привет! Понимаю, прошло уже больше полугода, но может, всё ещё нужен ответ? Или сам разобрался?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры