+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

[РЕШЕНО] Проблема с IPSec

[РЕШЕНО] Проблема с IPSec, RouterOS

evince

Guest

09.07.2012 08:56:00

Всем привет! У меня есть IPsec-туннель между двумя Mikrotik RB751G. Туннель активен, я могу пинговать устройства с обеих сторон, но не могу получить доступ к общим папкам и веб-сайтам, размещенным на удаленном узле. Я тестировал с Sonicwall, и там доступ полный. Можете помочь, пожалуйста? Прошу прощения за мой плохой английский.

С уважением,
Vincent.

antkamidiv

Guest

09.07.2012 09:27:00

Привет! Сначала проверь настройки политики безопасности. Это может влиять на доступ к ресурсам. Есть ли у тебя какие-нибудь правила в NAT-таблице для доступа к твоему сайту? Как ты получаешь доступ к общим папкам? Например, если ты пытаешься открыть их через сетевое окружение Windows, тебе нужно создать специфические правила в файрволле для порта 445.

evince Guest	#3 0 09.07.2012 10:08:00 Привет! Спасибо за ответ. Вот моя настройка NAT: 0 chain=srcnat action=accept src-address=10.0.0.0/8 dst-address=192.168.88.0/24. Нужно ли мне создать: 2 chain=input action=accept protocol=tcp src-address=192.168.88.0/24 dst-port=445? Заранее спасибо.

antkamidiv Guest	#4 0 09.07.2012 13:06:00 Ок. Будет проще, если опишешь всю схему твоих сетей на обоих сайтах: LAN-адреса, IPSec-адреса и так далее.

evince

Guest

09.07.2012 13:28:00

Сайт 1 : LAN : 10.5.0.0/24 ETH2 : 10.5.0.254/24 VLAN15 : 10.15.0.0/24 # 09.07.2012 15:25:07 от RouterOS 5.18
# software id = 9V5C-CE34
#
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=md5 disabled=no enc-algorithms=3des lifetime=30m name="to lu" pfs-group=modp1024
/ip ipsec peer
add address=xxx.xxx.xxx.xxx/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd \
dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=md5 lifebytes=0 \
lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=obey secret=****** \
send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=no dst-address=192.168.88.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 \
proposal="to lu" protocol=all sa-dst-address=xxx.xxx.xxx.xxx sa-src-address=yyy.yyy.yyy.yyy src-address=10.0.0.0/8 \
src-port=any tunnel=yes
add action=encrypt disabled=yes dst-address=10.10.10.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 \
proposal=default protocol=all sa-dst-address=xxx.xxx.xxx.xxx sa-src-address=yyy.yyy.yyy.yyy src-address=10.5.0.0/24 \
src-port=any tunnel=yes Сайт 2 : LAN : 192.168.88.0/24 ETH2 : 192.168.88.1/24 05.01.1970 04:41:13 от RouterOS 5.18
# software id = 3EFE-FKCD
#
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des \
lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=md5 disabled=no enc-algorithms=3des lifetime=30m name=\
"to vince" pfs-group=modp1024
/ip ipsec peer
add address=yyy.yyy.yyy.yyy/32 auth-method=pre-shared-key dh-group=modp1024 \
disabled=no dpd-interval=disable-dpd dpd-maximum-failures=5 \
enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=\
md5 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 \
proposal-check=obey secret=****** send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=yes dst-address=10.0.0.0/8 dst-port=any \
ipsec-protocols=esp level=require priority=0 proposal="to vince" \
protocol=all sa-dst-address=yyy.yyy.yyy.yyy sa-src-address=21xxx.xxx.xxx.xxx \
src-address=192.168.88.0/24 src-port=any tunnel=yes Спасибо за помощь!

antkamidiv Guest	#6 0 09.07.2012 14:08:00 Ну, все настройки верны. ПК доступны по IP-адресу. Как ты пытаешься получить доступ к общим папкам?

antkamidiv

Guest

09.07.2012 14:52:00

Ой, какой глупый вопрос. Конечно, у вас же есть эти правила. Я не понимаю. Вы можете пинговать 10.5.0.11? Единственное, что я могу предложить, это то, что правила фильтра брандмауэра блокируют порт 445. Включите этот порт на обеих сторонах.

evince Guest	#8 0 09.07.2012 15:07:00 Да, я могу пропинговать всю свою сеть, проблема только с общими папками и доступом по HTTP к моему NAS (обеими). Похоже, проблема в SITE 2, потому что когда я подключаю Sonicwall, никаких проблем не возникает.

evince Guest	#9 0 09.07.2012 15:15:00 Только что сделал тест. Попробовал подключиться к своему удаленному сайту, страница отображается, кстати, картинки не показываются, и никаких сообщений об ошибках нет. Странно…

andriys Guest	#10 0 09.07.2012 15:21:00 Похоже на проблему с PMTUD. Вы случайно не блокируете какие-нибудь ICMP-сообщения?

evince Guest	#11 0 09.07.2012 15:25:00 Я пока еще не знаю, что такое PMTUD, но ничего не блокирую в данный момент.

jandafields

Guest

#12

09.07.2012 23:43:00

Возможно, твой провайдер блокирует 445 порт или другие порты для файлообмена. Возможно, SonicWall использует IPsec через L2TP, и это работает, потому что не использует эти порты, а ты используешь прямой IPsec (не через L2TP), что потребует порты 445/файлообмена…

evince Guest	#13 0 10.07.2012 06:29:00 Спасибо за ответ. Мой провайдер не блокирует порт 445, так как я работаю в нём. Странно то, что я не могу отображать картинки с моего удалённого сайта. Спасибо всем за помощь, я в тупике.

evince Guest	#14 0 11.07.2012 14:31:00 Проблема решена, я уменьшил MTU. Большое спасибо.

evince Guest	#15 0 09.07.2012 14:33:00 Я пробовал с \10.5.0.11 и через http://10.5.0.11/mywebsite. Спасибо.

antkamidiv Guest	#16 0 09.07.2012 14:49:00 У вас такие правила? Сайт 1: 0 chain=srcnat action=accept src-address=10.0.0.0/8 dst-address=192.168.88.0/24. Сайт 2: 0 chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=10.0.0.0/8.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры