+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

EOIP через IPSEC ДВА RB750

EOIP через IPSEC ДВА RB750, RouterOS

XTX

Guest

04.06.2011 19:35:00

Привет! У меня есть RB750 на локации A (wanip: x.y.v.z, lanip 192.168.0.1/24 - dhcp), который работает отлично. Сейчас я хочу установить ещё один 750 на локации B (wanip: a.b.c.d). Но я хочу, чтобы все устройства, подключённые к 750 на локации B, выходили в интернет через 750 на локации A, и чтобы именно 750 на А раздавал локальные IP адреса (dhcp) для обеих локаций. Если я правильно понимаю, это возможно с помощью eoip, а чтобы было безопасно — нужен ipsec. Кто-то мог бы объяснить (шаг за шагом, я полный новичок, желательно с примером кода), как это сделать? Буду очень благодарен. (Я читал примеры по созданию ipsec между двумя LAN и по созданию eoip, но почему-то не могу их правильно совместить). Спасибо!

scampbell Guest	#2 0 06.07.2011 03:18:00 Согласен с тобой. У меня такая же ситуация, и я тоже ломаю голову. Буду признателен за помощь!

cbrown Guest	#3 0 06.07.2011 15:31:00 Не проще ли создать IPSec туннель, а потом запускать через него ваш EoIP?

cbrown

Guest

06.07.2011 17:24:00

Это должно выглядеть примерно так (не забудьте добавить свои пиры):
Сторона А:
/ip ipsec policy add src-address=111.222.333.444 src-port=any dst-address=555.666.777.888 dst-port=any sa-src-address=111.222.333.444 sa-dst-address=555.666.777.888 tunnel=no action=encrypt proposal=default
/interface eoip add remote-address=555.666.777.888 tunnel-id=1

Сторона Б:
/ip ipsec policy add src-address=555.666.777.888 src-port=any dst-address=111.222.333.444 dst-port=any sa-src-address=555.666.777.888 sa-dst-address=111.222.333.444 tunnel=no action=encrypt proposal=default
/interface eoip add remote-address=111.222.333.444 tunnel-id=1

А потом просто добавьте ваши интерфейсы EoIP в нужные мосты.

scampbell

Guest

07.07.2011 04:17:00

Вот что я настроил — так сказать... Поскольку у меня всё было в лабораторной среде, нам пришлось добавить необходимые SRCNAT/Masquerades и маршруты по умолчанию, будто мы в Интернете. И всё заработало. Спасибо за помощь.

rumiclord

Guest

18.08.2011 17:15:00

Получилось заставить это работать один раз в лаборатории на версии 5.6, попытался создать то же самое с продакшн-маршрутизатора на версии 4.17, возвращаясь в мою лабораторию на 5.6… без успеха. Удалось запустить их по отдельности, но не вместе: как только устанавливался IPsec, EoIP поверх него переставал работать. Собираюсь обновить ещё один девайс до 5.6 и поставить в продакшн позже сегодня вечером… В общем, кто-нибудь смог настроить IPsec нормально, если у вас несколько IP на одном интерфейсе???

cbrown Guest	#7 0 19.08.2011 10:42:00 Предоставьте нам подробную распечатку ваших настроек IPSec и адресации.

TXBrew Guest	#8 0 08.09.2015 19:54:00 Просто к сведению... Этот пример у меня сработал... (EoIP по IPSec)! Спасибо!

scampbell Guest	#9 0 08.09.2015 21:18:00 Теперь это стало ещё проще: в версии 6.30 Mikrotik добавил поддержку IPSEC для EOIP — теперь при настройке EoIP достаточно указать IPsec Secret, и IPSEC создаётся автоматически.

gotsprings

Guest

#10

17.02.2016 16:14:00

Не могу заставить это работать. Это «проще» EOIP. Я настроил EoIP, выбрал секрет. Убедился, что идентификаторы туннеля совпадают. В логах вижу только это: 10:28:18 ipsec,error failed to pre-process ph2 packet. Нужно ли мне добавлять что-то в фильтр файрвола и NAT?

chechito Guest	#11 0 17.02.2016 19:38:00 Возможно, если вам не нужна связь второго уровня между сайтами, использование iPiP поверх IPsec-туннелей может упростить маршрутизацию.

scampbell

Guest

#12

17.02.2016 20:26:00

Убедитесь, что ваш файрвол разрешает входящий трафик с IP-адреса конечной точки — начните с разрешения всего трафика с IP удалённого сайта (чтобы запустить процесс), а затем уточните настройки для протокола 50, GRE, UDP 500, 4500 и так далее.

gotsprings Guest	#13 0 18.02.2016 16:24:00 Поместите правило разрешения в начало цепочки фаервола каждого роутера для входящих соединений с другого IP. Без изменений. Та же ошибка.

scampbell

Guest

#14

18.02.2016 19:00:00

Хмм, вроде бы у тебя базовые вещи на месте. Я немного поискал и нашёл вот эту ссылку, которая может помочь — http://forum.mikrotik.com/t/solved-l2tp-ipsec-stoped-working-after-upgrade-to-6-18/79942/1. Наверное, у тебя где-то остались настройки peer с предыдущих попыток. Попробуй вот что и посмотри, поможет ли…

Отключи IPSEC в настройках EoIP, удалив «secret». Удали все Ipsec Peers и политики. По умолчанию удалить Policy Test не получится — это чтобы трафик нормально проходил. Потом снова добавь секреты в EoIP и проверь ipsec peers и политики. Там должен появиться динамический peer и динамическая политика. Также проверь, чтобы дефолтные предложения (default proposal) совпадали на обоих роутерах. Проверь ещё раз, запустятся ли туннели нормально.

gotsprings Guest	#15 0 18.02.2016 22:32:00 Быстрая дорога!!! Выключил её — и пакеты проходят. Веб-страницы загружаются. Гррр. Целый день с этим мучился. Пока к EOIP не возвращался. Просто стандартная настройка IPSec — и всё работает. Наконец-то.

scampbell Guest	#16 0 18.02.2016 22:46:00 Некоторый прогресс имеется. Да, Fasttrack ломает все что только можно, так как пакеты обходят маршрутизирующий движок. Он отключает очереди, отслеживание соединений, Hotspot и многое другое.

Toby7

Guest

#17

10.02.2017 11:10:00

Извиняюсь, что поднял эту старую тему, но у меня большие проблемы с шифрованием EoIP-туннеля на RouterOS 6.38.1. Туннель работает, если не устанавливать IPsec-секрет, но когда ставлю простой пароль, например «test», он не работает. Вот сообщение об ошибке: phase1 negotiation failed due to time up… Я могу пропинговать обе стороны с другого устройства. Одно из них подключено к сети по беспроводному соединению, работает в режиме станции (capsman network). Я проверил IPsec-предложения, они корректны с обеих сторон. Проблем с файрволом быть не должно, потому что оба устройства находятся в одной подсети (10.0.128.0/24). Есть идеи?

scampbell Guest	#18 0 10.02.2017 20:28:00 Если вы включаете IPSec, нужно также разрешить протокол 50 и UDP 500 и 4500 во входящей цепочке на обоих роутерах. Надеюсь, это поможет. Отправлено с моего iPhone через Tapatalk

scampbell Guest	#19 0 10.02.2017 20:31:00 Если вы уверены, что файрвол не блокирует пакеты, то включите IPSec в логах и посмотрите, что происходит. Отправлено с моего iPhone через Tapatalk

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры