+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

[РЕШЕНО] Неправильный выбор IPSec SA для трафика.

[РЕШЕНО] Неправильный выбор IPSec SA для трафика., RouterOS

TropicalX

Guest

11.12.2013 13:14:00

Привет! Я настроил VPN S2S между Stonegate и Mikrotik LAN A1 10.160.1.0/24 ----> SG 83.206.1.10 oooooooo 41.188.22.44 MT <----- 192.168.193.0/24 LAN B1 LAN A2 172.20.0.0/23 | У Mikrotik включен srcnat accept для обоих A1 и A2. В целом всё работает хорошо, IKE и IPSEC успешно согласовываются, и я вижу 4 установленных SA на стороне Mikrotik (и SPI совпадают со Stonegate). Они: A1->B1 B1->A1 A2->B1 B1->A2. Если я пингую из A1 в B1, всё нормально. Но когда я пингую из A2 в B1, я вижу пакет, приходящий через SA A2->B1, но ответный пакет идет через B1->A1 вместо B1->A2 (я вижу это по счетчику байтов), так что он отбрасывается на стороне A. Если я очищаю все с обеих сторон, я могу пинговать B1 из A2, но потом пинговать B1 из A1 не получается. Я пробовал обновиться с v5.9 до v6.7, но поведение не изменилось. Баг? Спасибо за любую помощь.

andriys Guest	#2 0 11.12.2013 13:45:00 Пожалуйста, пришли свою конфигурацию IPsec.

TropicalX

Guest

11.12.2013 16:43:00

Вот мой конфиг:
`/ip ipsec proposal set [find default=yes] enc-algorithms=3des add auth-algorithms=md5,sha1 enc-algorithms=3des,aes-128-cbc lifetime=8h name=“ipcop” pfs-group=modp1536 add enc-algorithms=3des lifetime=8h name=stonegate pfs-group=none /ip ipsec peer add address=83.206.1.10/32 enc-algorithm=3des secret=******************** [сокращены другие шлюзы MikroTik без проблем] /ip ipsec policy add dst-address=172.20.0.0/23 proposal=stonegate sa-dst-address=83.206.1.10 sa-src-address=41.188.22.44 src-address=192.168.193.0/24 tunnel=yes add dst-address=10.160.13.0/24 proposal=stonegate sa-dst-address=83.206.1.10 sa-src-address=41.188.22.44 src-address=192.168.193.0/24 tunnel=yes [сокращены другие политики без проблем] /ip ipsec installed-sa print 12 E spi=0x4C08C0F src-address=83.206.1.10 dst-address=41.188.22.44 auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature auth-key=“9ebfc3d95362c7f280a8a4c70f32fc6cda13d6b8” enc-key=“26d138fa37a8b7292456d7d9edee0304d0c9df3985088fdc” addtime=jan/02/1970 00:32:56 expires-in=4h31m9s add-lifetime=6h24m/8h current-bytes=96695 16 E spi=0x5F35979 src-address=83.206.1.10 dst-address=41.188.22.44 auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature auth-key=“97430e864eec05d40463dd4830999785a1e61cd1” enc-key=“b915efaeec8e941338ed3df16e58dd876b27c1d221cc89ff” addtime=jan/02/1970 04:02:59 expires-in=7h57m8s add-lifetime=6h24m/8h current-bytes=500 29 E spi=0xAA142F84 src-address=41.188.22.44 dst-address=83.206.1.10 auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature auth-key=“1077a4f949b0f085d7190ad023b13e71b0128f29” enc-key=“b63cff955e3fdf139ce60e73e9f24ebd077cd59c5e7f7716” addtime=jan/02/1970 00:32:56 expires-in=4h31m9s add-lifetime=6h24m/8h current-bytes=6771 31 E spi=0x202ED5AC src-address=41.188.22.44 dst-address=83.206.1.10 auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature auth-key=“30abe04300a1eb092cc1c7cf0dfe2fb63df665d3” enc-key=“491782c863040a0339133ba5f07cf6ab8c1d58176a6882bd” addtime=jan/02/1970 04:02:59 expires-in=7h57m8s add-lifetime=6h24m/8h current-bytes=500 and on stonegate side : Скриншот IKE SA установлен, и SPI и подсети совпадают. Не знаю, где искать дальше, пока не знаю отладку MikroTik. Спасибо еще раз.

enman

Guest

22.06.2014 14:37:00

Похожая ситуация, если установлен туннель между Kerio и Mikrotik. Если в прошлом году не дали ответ, думаю, стоит подправить те баги, которые понятны разработчикам. Если ситуация нестандартная, разработчики молчат. Браво!

TropicalX Guest	#5 0 22.06.2014 15:09:00 Привет! Я тут недавно нашёл решение: на вкладке "Действия" политики IPSec поставь Level на ‘unique’ вместо ‘require’. Напиши, если сработает в твоём случае, я тогда тему отмечу как SOLVED. С удовольствием!

enman Guest	#6 0 22.06.2014 16:08:00 Чувак, буду усердно выпивать за твое здоровье всю следующую неделю. Честное слово! Спасибо, коллега! Работает.

TropicalX Guest	#7 0 22.06.2014 16:15:00 Рад слышать! Чтобы тебе не было слишком весело, выпью я тоже. Закрываю тему.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры