IPSec tunel na APN T-Mobile

s0uky

Mám takový specifický dotaz, jelikož jsem nový v užívání RB, rád bych se zeptal, zda se tu najde někdo kdo konfiguroval připojení na privátní APN k T-Mobilu?

Jedná se o klasický IPSec tunel typu gateway to gateway. Nyní se k APN připojujeme přes produkt od 3Com, který sice funguje tak jak má, ale přišel čas ho nahradit za něco novějšího.

Problém je v tom, že když RB (RB751U) nastavím dle 3Com (s využitím Wiki na mikrotik.com), zkrátka se nepřipojí. V RB je spousta dalšího nastavení, které by asi celkové spojení mohlo ovlivnit, ale ať si s tím hraju jak chci, jsem stále na bodu mrazu.

Má tu někdo zkušenosti s IPSec tunelem na T-Mobile APN a nebo celkově s IPSec? Na straně T-Mobilu by mělo být nějaké Cisco, čili když to shrnu, potřebuju propojit IPSecem Mikrotik s Ciscem.

ok2slc

Ano,

mám to takto rozjeté. Sice mi chvíli trvalo než jsem to uchodil, ale teď je to OK.

s0uky

A myslis, ze bys mi mohl postnout konfiguraci? Samozrejme se zmenenyma IP a bez sdilenyho klice.

ok2slc

Ale jo, mohl, ale stejně je potřeba v ostatních částech posupovat podle wiki.

Můj případ:
LAN: 192.168.12.0/24 WAN: 82.99.x.x
APN: 172.31.0.0/24 T-Mobile WAN: 62.141.x.x

# aug/22/2013 09:15:14 by RouterOS 6.2
# software id = ZT6U-UZDP
#
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-256
add enc-algorithms=des,3des lifetime=1h name=tmobile
/ip ipsec peer
add address=62.141.11.7/32 comment=T-Mobile hash-algorithm=sha1 secret=\
    "xxx" send-initial-contact=no
/ip ipsec policy
add comment=T-Mobile dst-address=172.31.0.0/24 proposal=tmobile \
    sa-dst-address=62.141.x.x sa-src-address=82.99.x.x src-address=\
    192.168.12.0/24 tunnel=yes

/ip firewall nat
add chain=srcnat comment="IPSec T-Mobile" dst-address=172.31.0.0/24 \
    src-address=192.168.12.0/24 to-addresses=82.99.x.x

s0uky

Super! Diky moc, vecer to zkusim a dam vedet, ted nemuzu odpojit firmu

ok2slc

Po zkušenostech vřele doporučuji zkoušet ten IPSec na "čistém" routeboardu. Člověk si s tím ušetří docela dost času při hledání problému. A to hlavně v NAT, kdy se mě to překládalo na jinou WAN IP než očekával T-Mobile...

s0uky

Čistý myslíš úplně čistý, nebo na přednastaveným z výroby? Ale počítám, že asi ta první varianta...

joker

Ot: a umi prosim RB i http tunel? Resp. existuje nejaky addon?

duvod: Treba czo2 ma analyzu trafficu a na nektere sluzby jako ipsec i https uplatnuje FUP/32 kbit, na http pak FUP/200 kbit... A to uz by se mi libilo vic...

s0uky

Po zkušenostech vřele doporučuji zkoušet ten IPSec na "čistém" routeboardu. Člověk si s tím ušetří docela dost času při hledání problému. A to hlavně v NAT, kdy se mě to překládalo na jinou WAN IP než očekával T-Mobile...

Tak to ted ladim a bohuzel se mi ten IPSec ani nespoji, v Installed SA nevidim jedinou IP. Na co si mam dat jeste pozor?

ok2slc

Je potřeba si zapnout logování IPSec a podívat do logu. Jinak čistou konfigurací jsem myslel RB na kterém je konfigurace pouze zakladní konfigurace potřebná pro IPSec, tj. privátní veřejnou ip a nat. Máte více veřejných ip? Máte u v APN zřízenu nějakou virtuální ip (není přiřazena žádné SIM) pro testování tunelu? jakou máte verzi RoS?

s0uky

Mám v RB nastavený jen přípojení do internetu a ten IPSec, máme pouze jednu IP. JJ, mám jednu IP, která je určena jen pro otestování tunelu. Verzi ROS mám 6.2

ok2slc

Pro jistotu se zeptám, zda to zkoušíte z firemní public ip na kterou je ten IPSec u T-Mobile povolen? A co čas RB, je synchronizovaný přes ntp? Jinak dejte výpis logu.

s0uky

JJ, z firemní public IP, proto to musím ladit vždy až ve večerních hodinách. Musí být kvůli IPSecu nějaký extra pravidla ve firewallu? Čas synchronizovaný nemám, zase večer to budu ladit, případně dám log.

majklik

Ve firewallu na MKčku je třeba mít v input povolen UDP port 500 (IKE protokol) a následně i protokol č. 50 (ipsec-esp) pro to, aby šel IPsec tunel ustanovit (a pak musí být pro forward dovoleno to, co má procházet do/z tunelu).

Nepoužíváme TM, takže můžu jen hádat, ale nejčastější problém v navazováí IPsec spojení proti Ciscu bývá, jak je stanoven proposals (musím v souladu s protistrnaou) a jak je nastaven proposal check v peers. Často se narazí na to, že na Ciscu je třeba nastaveno, že daný IPsec klíč má omezenou platnost jen pro zašifrování třeba 100 MB dat a pak se musí měnit. Tohle v RB nejde nastavit, jde jen nastavit omezení na časovou platnost. Takže je třeba si nastavit proposal check tak, že se přizpůsobím návrhu protistrany, pak se to chytne i s tím nastaveným lifebytes na Cisco straně (/ip ipsec peer X set proposal-check=claim případně ještě volnější obey).

s0uky

Tak jsem to právě zkoušel přesně podle všech informací v tomto vlákně (nastavený NTP, FW i s tim proposal checkem a nic. Zítra zavolám do T-M, jsem již bezradný.

s0uky

Tak jsem psal do T-M ohledně toho IPSecu a dozvěděl jsem se od nich pouze toto:

isakmp { ike1}-

standardne authentication pre-share, 3des, D-H group 2 , hash sha1, lifetime 86400 sec, ip identity a preshared key - muze byt i jina kombinace mame prednastaveno asi 10-15 kombinaci - vzhledem k druhe fazi se asi take chytame na des -

ipsec – {ike2}

esp-des ( uz si nepamatuji proc neni 3des ), esp-sha-hmac, tunnel mode , lifetime 3600 sec – neni zapnuto pfs

Nicméně se mi stále nedaří IPSec rozjet, už mi to není jasný proč :-(

majklik

To je takové obecné nastavení, s kterým by RB neměl mít potíže, rozhodně bych si vloučil použití DES a podobných volovin.

A co znamená, že tunelk se neustanoví? Je, doufám, známe, že IPsec tunel se začne ustnaovvoat až v okamžiku nutnosti přenášet data na které s emá aplikovat a ne ve chvíli, kdy ho naklikáte? A s ohledme na ukázenou konfiguraci od ok2slc obsahující:

ip ipsec peer
add address=62.141.11.7/32 comment=T-Mobile hash-algorithm=sha1 secret=\
    "xxx" send-initial-contact=no

tak k tomu navazování dochází ze strany Tmobile, čili až bude nějaký požadavke přenášet odata od TM směrem k MKčku. To dělá to send-initial-contact=no, s tím i při pokusu přenášet data z MK k TM se nebude nic dít, dokud se IKE vyjednávání nezahájí směrem od TM (čili dokud nebude aktivita na tom APN).
A pak je to už jen o tom, o se objeví v logu, ideálně zaponout debug na ipsec...

s0uky

Tak IPSec na APN jiz funguje!

Bylo to souhrou nahod a chyby v nastaveni (odhalil jsem pri dukladne kontrole logu), pri phase 2 jsem musel zmenit sifrovani z 3des na des, jinak mi to nejelo, ted jiz vse v pohode, uvidime co udela zatezovy test:-)

Diky vsem za rady!

majklik

Jestli mají pro IPSec opravdu povoleno pouze DES, tak to jdou dost patlalové... JSme v tom prvně četl DES nebo 3DES. S tím už dneska řada implementací neumí spolupracovat, že to mají zakázáno jao zcela slabé šifrování. To tam TM v rám ci úspor dal nějaký krám, co nemá šifrovací akcelerátor, tak takto se ho snaží nepřetížit? :-)

s0uky

Vubec nevim z jakeho duvodu tam je pouze DES, ale mam takove tuseni, ze tech par let zpatky co se to realizovalo na „hloupem“ zarizeni od 3Com, tak v nastaveni toho 3Comu nebyla moznost vyuzit 3DES, tak asi proto. TM ma na jejich strane nejaky Cisco, ale co presne, to nedokazu rict :-(

Další stránka »