IPS tunel mezi dvěma mikrotiky RB750

pheek

Dobrý den, chtěl bych vás poprosit o radu, návod, postup. Chtěl bych mezi dvěma mikrotiky vytvořit IPSec tunel, ale nedaří se mi. Prošel jsem tuny návodů ale ani s jedním jsem nedosáhl kýženého výsledku. Nemohl by mi prosím někdo poradit, popřípadě udělat step by step návod jak tunel nastavit? Problém je v tom že oba používají neveřejnou IP na kterou je routovaná veřejná. Návod nemusí být klikací, může být klidně terminálový. Předem děkuji za rady.

stav zapojení sítě:

RB1: current IP 10.0.1.100

IP: 10.39.9.11 (public IP 77.242.87.189)

MASK: 255.255.0.0

GW: 10.39.9.1

DNS: 82.114.192.15 82.114.192.6

internal network is 192.168.1.1/24

RB2: current IP 10.0.1.200

IP: 172.20.202.100 (public IP 88.146.173.193))

MASK: 255.255.255.0

GW: 172.20.202.1

DNS: 62.240.190.4 62.240.190.34 62.240.190.35

internal network is 192.168.2.1/24

pheek

Jo a prosím neberte v potaz

RB1: current IP 10.0.1.100

RB2: current IP 10.0.1.200

ty IP tam jsou navíc a jsou to současné IP na kterých mi doma běží :)

lukas-svk

To mas prenatovanu verejnu IP 1 ?

ESP + Tunel/Transport, pripadne aj AH + NAT-T, konfig by nemusel byt problem len to je na dlhsie vysvetlvoat co, ako, preco.

Dalsi tip, bud si klasicky urci iba zaujimovy traffic cez policy alebo si mozes medzi MK vytvorit GRE tunel a vsetok GRE traffic ipsecovat :)

gl.

pheek

děkuji za reakci :) veřejná je 1 na neveřejnou. Nemohl bych tě poprosit zda by jsi mi se nemohl hodit konfig step by step jak to nakonfigurovat když bude mikrotik čistý bez jakékoliv konfigurace.

lukas-svk

Skus toto

Btw bacha, 750tky su na to dost slbe pri SHA1/3DES to dava max 5/5Mbit a aj to v specifickom zapojeni, inak to ide este horsie - ba az katastrofalne. :)

pheek

Nepodařilo se mi to, podle tohoto jsem to už taky zkoušel nastavit. Nemohl bych tě prosím poprosit o nastavení jednoho i druhého , tak abych to tam nahodil a ono to fungovalo, dle nastavení sítě co jsem uváděl nahoře? Prosím o nastavení celého mikrotiku od jednotlivých interfaců, pro jistotu že jsem někde neudělal něco špatně. Děkuji ti moc. Jseš hodněj že se mi věnuješ.

lukas-svk

:-D tak teda aspon napis ake verzie ROS tam mas nasadene, ja odporucam cim novsiu. Obdobne riesenie som staval na 5.16.

pheek

tak verze RouterOS v5.11 a děkuji pěkně za návod. Jsem opravdu beznadějnej případ. :)

lukas-svk

No sice sa to blbo riesi takto bez nicoho, lepsi by bol pristup k boxom, hlavne kvoli tomu natu 1 ci to nebude robit problem .. ale tak skusime..

RB1: current IP 10.0.1.100

IP: 10.39.9.11 (public IP 77.242.87.189)

MASK: 255.255.0.0

GW: 10.39.9.1

DNS: 82.114.192.15 82.114.192.6

internal network is 192.168.1.1/24

RB2: current IP 10.0.1.200

IP: 172.20.202.100 (public IP 88.146.173.193))

MASK: 255.255.255.0

GW: 172.20.202.1

DNS: 62.240.190.4 62.240.190.34 62.240.190.35

internal network is 192.168.2.1/24

Skusime ten setup s GRE tunelmi, dva spojenie MK budu mat ptp subnet napr 172.16.1.0/30

RB1:

/interface gre

add disabled=no dscp=0 l2mtu=65535 local-address=77.242.87.189 mtu=1410 name=\

gre-tunnel0 remote-address=88.146.173.193

/ip address

add address=172.16.1.1/30 comment=Tunnel disabled=no interface=gre-tunnel0 \

network=172.16.1.0

RB2:

/interface gre

add disabled=no dscp=0 l2mtu=65535 local-address=88.146.173.193 mtu=1410 name=\

gre-tunnel0 remote-address=77.242.87.189

/ip address

add address=172.16.1.2/30 comment=Tunnel disabled=no interface=gre-tunnel0 \

network=172.16.1.0

Nahodit a skusit ping na protistranu z oboch MK .... ping 172.16.1.1 resp 172.16.1.2

Ak ok, pridas routy...

RB1:

/ip route

add disabled=no dst-address=192.168.2.0/24 gateway=172.16.1.2

RB2:

/ip route

add disabled=no dst-address=192.168.1.0/24 gateway=172.16.1.1

Teraz by mala byt dosiahnutelna siet na druhom MK cez GRE tunel.

No a ked ti toto pojde tak sa ohlas :-), som zvedavy ci nebude problem so src ip GRE pri tom nate. Ked ti toto pojde, pripisem nieco dalsie. ( doriesime samotny ipsec )

pheek

Děkuji vyzkouším. Takže vyrestartuji mikrotiky do defaultu a zadám tyto příkazy. Nahodí mi to veškeré interface které bude potřeba. A ten default tuším že je to 192.168.88.1 s obou smažu.

lukas-svk

naco default? ved ti tie dva boxy uz bezia, nie? To tam proste pridaj alebo ak to je nekriticke a nemas problem s tym ze na to bude mat pristup niekto iny, kludne to mozem spojazdnit.

pheek

hele problém je ten že to mám doma na routeru a není to na těch IP na kterých to má běžet. Takže potřebuji udělat konfiguraci tak abych to jen přenesl a ono to fungovalo, klidně ti teď k tomu přístup udělám, mám tam rozchozenej IPSec tunel, který se mi povedl rozchodit, ale pokud to přenesu na místo, přenastavím IP tak mi to nechodí. Klidně se mi ozvi na skype můžeme se domluvit. Díky Petr. Skype je pheek77

lukas-svk

Tak skusmo som vyskusal v labe nejaky setup.. ten gre setup, v transport mode je kvoli natu problem. Ten GRE navyse ktory je vyssie ma v poste zle src ip adresy ..

Setup ktory funguje je esp + tunnel..

R1:

/ip ipsec proposal

set auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024

add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=tunnel-proposal pfs-group=modp1024

/ip ipsec peer

add address=88.146.173.193/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no \

hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=password send-initial-contact=yes

/ip ipsec policy

add action=encrypt disabled=no dst-address=192.168.2.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=tunnel-proposal protocol=all sa-dst-address=\

88.146.173.193 sa-src-address=10.39.9.11 src-address=192.168.1.0/24 src-port=any tunnel=yes

/ip firewall nat

add action=accept chain=srcnat disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24

add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway

RB:

/ip ipsec proposal

set auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024

add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=tunnel-proposal pfs-group=modp1024

/ip ipsec peer

add address=77.242.87.189/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no \

hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=password send-initial-contact=yes

/ip ipsec policy

add action=encrypt disabled=no dst-address=192.168.1.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=tunnel-proposal protocol=all sa-dst-address=77.242.87.189 \

sa-src-address=172.20.202.100 src-address=192.168.2.0/24 src-port=any tunnel=yes

/ip firewall nat

add action=accept chain=srcnat disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24

add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway

Treba si este vyriesit MTU ..

Btw skusal som dany setup aj na 5.19, tam to reaguje hodne zle zmazanie SAciek na niektorom z routrov znamena nedosiahnutelny druhy koniec .. proste bug.

Na 5.16 to ide OK, preto odporucam upgrade.

Dufam ze ti to bude fungovat OK.

pheek

Děkuji moc za postup a info co a jak. V současné době tam mám 5.11 a podle toho co píšete je potřeba upgradovat na 5.16. Našel jsem jen 5.19 o kterém píšete že je špatný a že ten má bug v podobě smazání SAček. Nemohl bych ještě poprosit o link na stáhnutí toho požadovaného FW pro RB 750? Děkuji moc.

drakk

Zaznelo to na konferenci na Jezerce: http://www.routeros.co.id/

pheek

Děkuji moc.

lukas-svk

je to proste:

http://download2.mikrotik.com/routeros-mipsbe-5.19.npk je 5.19

http://download2.mikrotik.com/routeros-mipsbe-5.16.npk

http://download2.mikrotik.com/routeros-mipsbe-5.17.npk

atd...

Nezabudnut upgradnut aj routerboot po tom co upgradnes ROS

( /system routerboard upgrade a nasledne /system reboot )

lukas-svk

Btw ak to nemusi byt IPSec tak za skusku by stala mozno pptp alebo ina vpnka.

Edit: otestuj si perf, ak by to davalo slabe vysledky odporucam dany setup spravit ethe2 bude uplink a ether3 bude downlink.

Edit2: pripadne mozes skusit vypnut nat traversal ...

update: bez nat traversal tunnel nedokaze ist hore pri vymazani SAciek na responderovi .. , zaroven teda v 5.19 to nevyzera na bug, resp rovnako sa sprava aj 5.16. Cely ten setup je na MK akysi problemovejsi nez na ciscu :)

Edit3: na RB1

mss pre tcp traffic a clear df-bitu

add action=change-mss chain=forward disabled=no dst-address=192.168.2.0/24 \

new-mss=1300 out-interface=ether1-gateway passthrough=yes protocol=tcp \

tcp-flags=syn

add action=clear-df chain=forward disabled=no dst-address=192.168.2.0/24 \

out-interface=ether1-gateway passthrough=yes protocol=tcp tcp-flags=syn

pheek

Takže toto konfigurace kterou si mi sem hodil je funkční a tebou vyzkoušena, pokud tomu dobře rozumím, takže stačí to jen hodit do mikrotiků a updatovat ROS a vše bude funkční. Je to tak?

R1:

/ip ipsec proposal

set auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024

add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=tunnel-proposal pfs-group=modp1024

/ip ipsec peer

add address=88.146.173.193/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no \

hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=password send-initial-contact=yes

/ip ipsec policy

add action=encrypt disabled=no dst-address=192.168.2.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=tunnel-proposal protocol=all sa-dst-address=\

88.146.173.193 sa-src-address=10.39.9.11 src-address=192.168.1.0/24 src-port=any tunnel=yes

/ip firewall nat

add action=accept chain=srcnat disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24

add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway

RB:

/ip ipsec proposal

set auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024

add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=tunnel-proposal pfs-group=modp1024

/ip ipsec peer

add address=77.242.87.189/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no \

hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=password send-initial-contact=yes

/ip ipsec policy

add action=encrypt disabled=no dst-address=192.168.1.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=tunnel-proposal protocol=all sa-dst-address=77.242.87.189 \

sa-src-address=172.20.202.100 src-address=192.168.2.0/24 src-port=any tunnel=yes

/ip firewall nat

add action=accept chain=srcnat disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24

add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway

lukas-svk

No, skusal som to v labe ale samozrejme je tam este vela moznosti kde moze byt problem .. Nezabudni si povolit ipsec vo filtri atd ..

Gl.

Další stránka »