+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Mikrotik ipsec passthrough с NAT

Mikrotik ipsec passthrough с NAT, RouterOS

andrei

Guest

17.02.2016 11:27:00

У меня есть устройство Mikrotik с публичным адресом на интерфейсе, и мне нужно разрешить подключенному к нему роутеру Cisco установить IPsec VPN (требуются udp 500, udp 4500, ipsec-esp). Я настроил dst-nat с публичного адреса на локальный (роутер Cisco) и маскарадинг для исходящих подключений, но Cisco всё равно не может установить IPsec-соединение. Есть ли что-то, что я упускаю для корректной работы IPsec через Mikrotik?

harrysl21

Guest

04.03.2016 02:14:00

PEER IPSEC >> ИНТЕРНЕТ >> MIKROTIK >> CISCO

CMIIW, тебе нужно создать IPSec-соединение с использованием устройства Cisco? Почему бы не использовать Mikrotik в качестве IPSec VPN-шлюза? Если хочешь использовать Cisco в роли VPN-шлюза, нужно разрешить UDP-порты 500, 4500, протокол ipsec-esp, настроить проброс через фаервол Mikrotik и удостовериться, что маршруты Cisco идут через Mikrotik.

pe1chl

Guest

04.03.2016 12:30:00

Убери все специальные меры, которые ты применял на MikroTik. Убедись, что Cisco настроен на поддержку NAT-T. Помни, что «IPsec с NAT-T» — это совсем не обычный IPsec. Это не отдельный протокол, а просто UDP-трафик на порту 4500, как у любого другого пользователя. Он обрабатывается обычным маскарадингом. NAT-T работает только с IPsec в режиме туннеля и с использованием ESP. Транспорта нет, AH тоже нет.

mrz Guest	#4 0 04.03.2016 14:27:00 Не совсем так, L2TP/Ipsec работает в транспортном режиме и без проблем проходит через NAT.

pe1chl

Guest

04.03.2016 19:41:00

Я пытался настроить GRE поверх IPsec transport через NAT-T, но безуспешно. GRE поверх IPsec transport работает нормально без NAT, как с ESP, так и с AH, и также IPsec/ESP туннель через NAT-T работает исправно. Но IPsec/AH туннель через NAT-T не работает. Как вы думаете, возможно ли настроить GRE поверх IPsec/ESP transport через NAT-T? Если да, то как правильно сконфигурировать GRE Tunnel, IPsec Policy и IPsec Peer?

andrei

Guest

07.03.2016 09:09:00

Я не использую Mikrotik как VPN-шлюз, потому что его задача — быть резервным шлюзом для маршрутизатора Cisco. Вся конфигурация IPsec настроена на Cisco. К тому же у меня нет доступа к Cisco-маршрутизатору. Настройку делал клиент, и они хотят использовать свой собственный маршрутизатор. Насколько я знаю, они пытаются запустить конфигурацию DMVPN. Говорят, что у них это уже работает (не знаю, что именно они сделали).

andrei

Guest

07.03.2016 10:35:00

Я пытался запустить GRE через соединение с NAT (с одной стороны), и это сработало. НО это работало только в том случае, если в настройках политики шифровать все протоколы, а не только протокол 47. Мне непонятно, почему так — баг это или я что-то упускаю.

pe1chl

Guest

07.03.2016 16:55:00

Вы, вероятно, настроили GRE поверх IPsec в туннельном режиме (с ESP), а потом включили NAT. Это действительно работает. Но по умолчанию при настройке GRE поверх IPsec используется транспортный режим, и, насколько я знаю, он не работает через NAT. Конечно, GRE поверх IPsec в туннельном режиме, а потом поверх NAT-T, добавляет ужасно много нагрузки. Пока что я использую GRE сразу поверх NAT без IPsec. Не зашифровано, но в этом случае это не требуется. Было бы неплохо добавить какую-то дополнительную аутентификацию.

andrei Guest	#9 0 07.03.2016 19:24:00 Нет, я настроил GRE IPsec в транспортном режиме (режим по умолчанию), и это сработало с той проблемой, о которой я говорил.

j23 Guest	#10 0 22.09.2016 23:29:00 Привет, твоя проблема уже решилась?

pe1chl

Guest

#11

17.11.2016 12:54:00

Я наконец-то понял, что меня сбивало с толку в IPsec в сочетании с NAT. Проблема вот в чём: GRE, IPIP или L2TP поверх IPsec в транспортном режиме могут работать через NAT, но при этом НЕ используют протокол NAT-T. Только IPsec с ESP в туннельном режиме использует NAT-T. NAT-T — это инкапсуляция ESP-пакетов в дополнительный слой UDP (порт 4500). Если NAT-маршрутизатор, через который нужно пройти, не выполняет NAT для «сырых» ESP-пакетов, которые шлются при использовании IPsec без NAT-T, соединение не работает. Вот в чём была моя проблема всё это время. Этого можно избежать, принудительно включив туннельный режим IPsec с NAT-T. Сейчас у меня есть другая установка с другим NAT-маршрутизатором, он позволяет делать NAT для ESP-трафика, и тогда GRE поверх IPsec в транспортном режиме работает без NAT-T (что, конечно, экономит некоторое количество служебных данных).

andriys

Guest

#12

17.11.2016 13:37:00

ESP используется для инкапсуляции трафика как в туннельном, так и в транспортном режиме. RFC3948 («UDP-инкапсуляция IPsec ESP-пакетов») охватывает оба режима — туннельный и транспортный, поэтому NAT-T должен одинаково хорошо работать с IPsec в обоих режимах. P.S. Реализация NAT-T в RouterOS раньше была сырой до версии 6.38rc24, но теперь ситуация улучшается.

pe1chl Guest	#13 0 17.11.2016 15:49:00 Видел, что написано на странице 5? Похоже, что манипуляции с контрольной суммой пока не реализованы... Когда выйдет версия 6.38, я снова попробую проверить, получится ли запустить GRE поверх IPsec в NAT-маршрутизаторе, который не пропускает и не возвращает ESP. Раньше у меня это не получалось, пока я не сделал ручную настройку с использованием GRE поверх IPsec туннеля + NAT-T.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры