VPN ipsec propojeni MT->MT (v lan)

miki17

Přeji hezký den, bojuji s nastavením dvou mikrotiků a snažím se mezi nimi nastavit VPN přes ipsec tunel. Jeden je na hranici jedné sítě a druhý v druhé síti za Keriem.

Řekl bych, že jsem na netu vygoglil poměrně dost informací, ale zamrzl jsem na problému, kdy mi v logu hlásí chybu při pokusu o propojení

ipsec debug: ignore because do not listen on source address: x.x.x.x

Nemůžu k tomu nic najít, tak prosím zkušené o radu. Je to můj první pokus a už se s tím morduju řadu dní. Případné další potřebné info rád doplním.

zuhan

Nedávno jsem s tím taky bojoval a pomohlo mně toto: http://gregsowell.com/?p=787

Zkus mrknout, snad z toho bude něco užitečné.

miki17

Dík, odkaz znám, výborný videa jsou i zde :

10.101.0.0/16 - MKT1 - 10.101.102.41 <-LAN-> 10.101.101.1(GW) - kerio - 6X.1X8.57.X18 <-INTERNET-> 8X.2X2.1X3.1X9 - MKT2 - 192.168.1.254(GW) - 192.168.1.0/24

zip

Pokud provozujes MT za NATem doporucuji vytvoroti PPTP tunel na MT, ktery je na verejne IP.

IPsec nema moc rad NAT-T. Po sestaveni PPTP tunelu vytvorit bez problemu IPsec.

miki17

To zip: díky za nápad, ale zjišťuji, že i tak mám problémy. Prostě začátečník.

Ačkoliv mám nastaveno, myslím vše dle návodů, stejně mi tunel nechodí a háže mi chybu.

-- CUT strabna v praci ---

06 ipsec,debug,packet resend phase1 packet 915ec2368dc84065

06 ipsec,debug,packet getsockmyaddr 192.168.19.170

06 ipsec,debug,packet 104 bytes from 192.168.19.170 to 192.168.19.169

06 ipsec,debug,packet sockname 192.168.19.170

06 ipsec,debug,packet send packet from 192.168.19.170

06 ipsec,debug,packet send packet to 192.168.19.169

06 ipsec,debug,packet src4 192.168.19.170

06 ipsec,debug,packet dst4 192.168.19.169

06 ipsec,debug,packet 1 times of 104 bytes message will be sent to 192.168.19.169

06 ipsec,debug,packet 915ec236 8dc84065 00000000 00000000 01100200 00000000 00000068 0d000038

06 ipsec,debug,packet 00000001 00000001 0000002c 01010001 00000024 01010000 800b0001 000c0004

06 ipsec,debug,packet 00015180 80010005 80030001 80020002 80040002 00000014 afcad713 68a1f1c9

06 ipsec,debug,packet 6b8696fc 77570100

06 ipsec,debug,packet resend phase1 packet 915ec2368dc84065

06 ipsec,debug phase2 negotiation failed due to time up waiting for phase1. ESP 192.168.19.169->192.168.19.170

06 ipsec,debug delete phase 2 handler.

--- CUT END ---

---- CUT Strana doma -----

...08 ipsec,debug,packet Compared: DB

08 ipsec,debug,packet (lifetime = 86400)

08 ipsec,debug,packet (lifebyte = 0)

08 ipsec,debug,packet enctype = 3DES-CBC-CBC

08 ipsec,debug,packet (encklen = 0)

08 ipsec,debug,packet hashtype = MD5

08 ipsec,debug,packet authmethod = pre-shared key-shared key

08 ipsec,debug,packet dh_group = 1024-bit MODP group-bit MODP group

08 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds

08 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4

08 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=3DES-C

08 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-s

key

08 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA

08 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit

group

08 ipsec,debug rejected hashtype: DB(prop#1#1)(prop#1#1) =

SHA

08 ipsec,debug no suitable proposal found.

08 ipsec,debug failed to get valid proposal.

---- CUT END -----

Přitom na obou stranách je IPSec Proposal nastaveno stejně.

Našla by se nějaká dobrá duše a odladila se mnou tento příklad? Pořádně se v tom plácám.

miki17

Přikládám obrázky pro lepší orientaci v nastavení. Snad tam mám zachyceno vše podstatné.

majklik

Máš blbš v IPsec peer hash algorithm, nahoře máš SHA, dole MD5. řve ti to i do logu (3. řádek od spodu). Dej oboje na SHA a najede ti to.

Pak to provoz přes ten NAT:

Zapnout NAT traversal na obou koncích. To na firmě nech send initial contact a doma to vypni. Zapni použití DPD, tak po 10 sekundách. Zapni generate policy na obojím.

Ten proposal, co tam máš stacicky, tak mu dej prioritu třeba 10 (ať ho pak přebije ten dynamický).

Firewall musí propoustit UDP/500 a UDP/4500.

Na firmě pustit periodický ping, co to bude nahazovat (pokud přímo na tom MKčku, tak mu vnutit zdrojovou IP v tom proposal segmentu a musí pinkat na něco uvnitř na druhé straně).

miki17

Díky všem za pomoc! Opravdu to naběhlo, už jsem nedoufal, že to zprovozním. Taková blbost. : :

Teď můžu zkoušet variantu s NATem. Fakt moc díky.

mates78

Máš blbš v IPsec peer hash algorithm, nahoře máš SHA, dole MD5. řve ti to i do logu (3. řádek od spodu). Dej oboje na SHA a najede ti to.

Pak to provoz přes ten NAT:

Zapnout NAT traversal na obou koncích. To na firmě nech send initial contact a doma to vypni. Zapni použití DPD, tak po 10 sekundách. Zapni generate policy na obojím.

Ten proposal, co tam máš stacicky, tak mu dej prioritu třeba 10 (ať ho pak přebije ten dynamický).

Firewall musí propoustit UDP/500 a UDP/4500.

Na firmě pustit periodický ping, co to bude nahazovat (pokud přímo na tom MKčku, tak mu vnutit zdrojovou IP v tom proposal segmentu a musí pinkat na něco uvnitř na druhé straně).

ahoj mám nastaveno podle návodu, mám to na veřejných IP.

problém je v tom, že když se simuluje výpadek ne jedné straně, tak se to pak nespojí samo, musím udělat flush

/ip ip installed-sa flush sa-type=all

v čem mám chybu.

díky