Jump to content
  • 0

Проблем с IPSec тунел - no phase2.


netuno

Въпрос

Привет. Имам един работещ IPSec, но затруднения с друг.
Имам IPSec тунел...IP-тата са примерни, разбира се.
В Peers имам..

Цитат

local peer 10.20.10.20
remote peer 150.100.100.105


В policies Имам

Цитат

192.168.10.10/22 към 150.100.100.100/16
encrypt requre 


Имам правило в IP-NAT

Цитат

accept srcnat 150.100.100.100.16

В IP-Filter rules

Цитат

accept forward 150.100.100.100/16 to 192.168.10.10/22
accept forward 192.168.10.10/22 to 150.100.100.100/16



Тунелът ми казва established, но no phase2. SA-та няма, не започва шифрирано предаване.
В този случай не мога да разбера 2 неща...
1.Директно ли ми минава трафика през WAN-а и отива там некриптиран или имам тунел между 10.20.10.20 и 150.100.100.105, но е некритиран?
2. Защо ми казва established, но no phase2. От другата страна устройството е Cisco.

Да разбирам, че си правя IP-NAT и IP-Filter rules, IPSec трябва да го прихване по зададените критерии, да установи тунел, да го шифрира.
Ако тунел няма ще го предаде ли директно открито или ще го дискартне?

Адрес на коментара
Сподели в други сайтове

11 отговори на този въпрос

Recommended Posts

  • 0
  • Администратор

Има ли причина да не ползваш L2TP,

който е по малко ресурсоемък има по добри параметри на пренос и по нисък лаг?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Най-вероятно имате разминаване в параметрите на втора фаза, за жалост това с микротика не може да се види.

Вижте го от страната на cisco-то, той може да върне информация.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове

  • 0

Добре, ако не стига до Фаза2, не би ли трябвало никакъв трафик да не върви между двете, които се хващат от IPSec policy-то?
В този вариант като няма Фаза2 установява ли се някаква връзка на Фаза1, има ли въобще тунел и как имат достъп, ако няма нищо?
Правилно съм си нагласил правилата, предполагам? Аз не мога да установя де факто минава ли нещо през IPSec-а от моя страна.
После мислех да го огранича до 2 конкретни машини във Firewall-а. Да accept forward-вам само между конкретен IP от вътрешната мрежа. В момента работи нещо и има достъп. Обаче аз не мога да го установя през Микротика какво работи и как работи. Искам да се уверя, че работи защитено.

Преди 2 часа, 111111 написа:

Има ли причина да не ползваш L2TP,

Има. И аз предпочитам да имам интерфейс, към който да насочвам. Подадена ми е конфигурация. Аз я въвеждам в Микротика.
Сбъркал ли съм нещо? И второто - трафика откъде минава, след като не стига до Фаза2? Фаза1 очевидно я минава, щом е established.

Преди 2 часа, sairos написа:

Най-вероятно имате разминаване в параметрите на втора фаза, за жалост това с микротика не може да се види.

Пробвах за теста да нацъкам всичките опции. Няма Фаза 2 и това е. Подадено ми е за DH group = none.

Като цяло с Микротика с филтриране, L7, dst-nat правила, ip pool-ове, конфигурации на интерфейсите не срещам затруднения.
Тук обаче не мога да проследя какво се случва. И ако нямам phase2 не би ли следвало да не върви нищо?
А ако съм настроил правилата правилно спрямо тунела, което ще се радвам, ако го потвърдите, откъде минава тоя трафик?
Бих се радвал ако някой може да поясни.

Редактирано от netuno
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Дигни си нивото на логване, свери си часовника.

И кой е интерфейса при IPSEC ?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Не ми става ясно за какъв трафик който върви говориш, моля да поясниш.

Пак казвам говори с човека от другата страна да погледне при него какво не Ви е еднакво на втора фаза.
Пускайки всички опции не означава че ще оправиш проблема на втора фаза.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 11 часа, netuno написа:

Подадена ми е конфигурация. Аз я въвеждам в Микротика.

Аз бих отправил тези въпроси към този който е подал конфигурацията. Мултивендор IPSec-a се дебъгва достатъчно криво, а при спестена 90% от конфигурацията и без дебъг може само да се вайкаме в темата.

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 10 часа, sairos написа:

Не ми става ясно за какъв трафик който върви говориш, моля да поясниш.

Отсрещната страна казва, че има достъп до необходимите ресурси, т.е има достъп до локалната мрежа.
След като съм направил IPSec с peers моето IP и тяхното IP, техният събнет и моят събнет би трябвало IPSec да го прихване, нали така?
Единственото друго нещо, което имам е route към техния събнет през Ether1. 
Има ли вариант при зададена IPSec policy по по-горните параметри които съм дал трафикът да я прескача и да минава през Ether1, без да използва IPSec policy-то, след като съм задал изрично параметрите на връзката в него?
Да вкарам ли в accept rule-овете ipsec 

Редактирано от netuno
Адрес на коментара
Сподели в други сайтове

  • 0

В такъв случай имате работещ ipsec и втора фаза минава, най-вероятно нещо правилата ти за трафика не са правилни.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 2 часа, sairos написа:

В такъв случай имате работещ ipsec и втора фаза минава, най-вероятно нещо правилата ти за трафика не са правилни.

Ако те го пускат само при нужда, а после го спират, Ph2 count брои тоталните за Established сесията, докато изтече timeout-а й или от последното успешно свързване, така че ако следващо не е успешно или се разкачат се ресетва на 0?

Адрес на коментара
Сподели в други сайтове

  • 0

Когато няма трафик по тунела  сесията изтича и той се разпада, подновяването става автоматично когато започне да тече пак трафик.

 

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
На 27.10.2020 г. at 20:10, netuno написа:

Тунелът ми казва established, но no phase2. SA-та няма, не започва шифрирано предаване.

Този естаблиш къде точно го четете? При site to site IPSEC няма тунелен нтерфейс, а се изгражда перманентна криптирана връзка на основата на определени правила!

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.