Проблем с IPSec тунел - no phase2.

[netuno]

Привет. Имам един работещ IPSec, но затруднения с друг.
Имам IPSec тунел...IP-тата са примерни, разбира се.
В Peers имам..

Цитат

local peer 10.20.10.20
remote peer 150.100.100.105

В policies Имам

Цитат

192.168.10.10/22 към 150.100.100.100/16
encrypt requre 

Имам правило в IP-NAT

Цитат

accept srcnat 150.100.100.100.16

В IP-Filter rules

Цитат

accept forward 150.100.100.100/16 to 192.168.10.10/22
accept forward 192.168.10.10/22 to 150.100.100.100/16

Тунелът ми казва established, но no phase2. SA-та няма, не започва шифрирано предаване.
В този случай не мога да разбера 2 неща...
1.Директно ли ми минава трафика през WAN-а и отива там некриптиран или имам тунел между 10.20.10.20 и 150.100.100.105, но е некритиран?
2. Защо ми казва established, но no phase2. От другата страна устройството е Cisco.

Да разбирам, че си правя IP-NAT и IP-Filter rules, IPSec трябва да го прихване по зададените критерии, да установи тунел, да го шифрира.
Ако тунел няма ще го предаде ли директно открито или ще го дискартне?

[111111]

Има ли причина да не ползваш L2TP,

който е по малко ресурсоемък има по добри параметри на пренос и по нисък лаг?

[vv1]

Най-вероятно имате разминаване в параметрите на втора фаза, за жалост това с микротика не може да се види.

Вижте го от страната на cisco-то, той може да върне информация.

[netuno]

Добре, ако не стига до Фаза2, не би ли трябвало никакъв трафик да не върви между двете, които се хващат от IPSec policy-то?
В този вариант като няма Фаза2 установява ли се някаква връзка на Фаза1, има ли въобще тунел и как имат достъп, ако няма нищо?
Правилно съм си нагласил правилата, предполагам? Аз не мога да установя де факто минава ли нещо през IPSec-а от моя страна.
После мислех да го огранича до 2 конкретни машини във Firewall-а. Да accept forward-вам само между конкретен IP от вътрешната мрежа. В момента работи нещо и има достъп. Обаче аз не мога да го установя през Микротика какво работи и как работи. Искам да се уверя, че работи защитено.

Преди 2 часа, 111111 написа:

Има ли причина да не ползваш L2TP,

Има. И аз предпочитам да имам интерфейс, към който да насочвам. Подадена ми е конфигурация. Аз я въвеждам в Микротика.
Сбъркал ли съм нещо? И второто - трафика откъде минава, след като не стига до Фаза2? Фаза1 очевидно я минава, щом е established.

Преди 2 часа, sairos написа:

Най-вероятно имате разминаване в параметрите на втора фаза, за жалост това с микротика не може да се види.

Пробвах за теста да нацъкам всичките опции. Няма Фаза 2 и това е. Подадено ми е за DH group = none.

Като цяло с Микротика с филтриране, L7, dst-nat правила, ip pool-ове, конфигурации на интерфейсите не срещам затруднения.
Тук обаче не мога да проследя какво се случва. И ако нямам phase2 не би ли следвало да не върви нищо?
А ако съм настроил правилата правилно спрямо тунела, което ще се радвам, ако го потвърдите, откъде минава тоя трафик?
Бих се радвал ако някой може да поясни.

Редактирано 27 Октомври, 2020 от netuno

[111111]

Дигни си нивото на логване, свери си часовника.

И кой е интерфейса при IPSEC ?

[vv1]

Не ми става ясно за какъв трафик който върви говориш, моля да поясниш.

Пак казвам говори с човека от другата страна да погледне при него какво не Ви е еднакво на втора фаза.
Пускайки всички опции не означава че ще оправиш проблема на втора фаза.

[computer]

Преди 11 часа, netuno написа:

Подадена ми е конфигурация. Аз я въвеждам в Микротика.

Аз бих отправил тези въпроси към този който е подал конфигурацията. Мултивендор IPSec-a се дебъгва достатъчно криво, а при спестена 90% от конфигурацията и без дебъг може само да се вайкаме в темата.

[netuno]

Преди 10 часа, sairos написа:

Не ми става ясно за какъв трафик който върви говориш, моля да поясниш.

Отсрещната страна казва, че има достъп до необходимите ресурси, т.е има достъп до локалната мрежа.
След като съм направил IPSec с peers моето IP и тяхното IP, техният събнет и моят събнет би трябвало IPSec да го прихване, нали така?
Единственото друго нещо, което имам е route към техния събнет през Ether1. 
Има ли вариант при зададена IPSec policy по по-горните параметри които съм дал трафикът да я прескача и да минава през Ether1, без да използва IPSec policy-то, след като съм задал изрично параметрите на връзката в него?
Да вкарам ли в accept rule-овете ipsec 

Редактирано 28 Октомври, 2020 от netuno

[vv1]

В такъв случай имате работещ ipsec и втора фаза минава, най-вероятно нещо правилата ти за трафика не са правилни.

[netuno]

Преди 2 часа, sairos написа:

В такъв случай имате работещ ipsec и втора фаза минава, най-вероятно нещо правилата ти за трафика не са правилни.

Ако те го пускат само при нужда, а после го спират, Ph2 count брои тоталните за Established сесията, докато изтече timeout-а й или от последното успешно свързване, така че ако следващо не е успешно или се разкачат се ресетва на 0?

[vv1]

Когато няма трафик по тунела  сесията изтича и той се разпада, подновяването става автоматично когато започне да тече пак трафик.

 

[JohnTRIVOLTA]

На 27.10.2020 г. at 20:10, netuno написа:

Тунелът ми казва established, но no phase2. SA-та няма, не започва шифрирано предаване.

Този естаблиш къде точно го четете? При site to site IPSEC няма тунелен нтерфейс, а се изгражда перманентна криптирана връзка на основата на определени правила!