МT IPSec към Linksys RVS 4000 VPN

[Pavlov]

Здравейте!

Искам да направя VPN между МТ и Linksys RVS4000 VPN. Проблема е че Linksys-a има само IPSec и VPN-a трябва да бъде такъв.

Ситуацията е следната: 2 офиса като в единия има Linksys RVS4000 и има VPN IPSec  с агенция митници. В другия офис съм решил да сложа МТ RB 750, с такъв разполагам. Въпроса е дали ще може да се направи изобщо VPN между двете устройства или самия МТ дали ще може да се конфигурира, за да прехвърля тунела към Агенция Митници на МТ.

Ако някой е правил IPSec към Агенция Митници с MT  ще се радвам да сподели как да го направя и аз.

[kokaracha]

Въпроса е дали ще може да се направи изобщо VPN между двете устройства или самия МТ дали ще може да се конфигурира, за да прехвърля тунела към Агенция Митници на МТ.

Ако някой е правил IPSec към Агенция Митници с MT  ще се радвам да сподели как да го направя и аз.

Може,прави се лесно.

[111111]

RTFM

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

С микротик е и по лесно

че е и по стабилно няма смисъл и да коментирам

[Pavlov]

RTFM

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

С микротик е и по лесно

че е и по стабилно няма смисъл и да коментирам

Само искам да питам преди да се захвана с опитите в manuala пише, че Ip/IPSec  важи за 4.5 +. С тоя микротик който имам аз RB 750 е с версия 4.11. Дали ще стане или трябва да го update до версия 5 макар да е бета все още.

И още нещо все пак говорим за IPSec между микртоика и Агенция Митници?

[Pavlov]

Та ето каква е ситуацията на Linksys-a - вижте по-долу изображението.

В МТ съм го направило по следния начин:

Local: 192.168.115.201/24

Public: 192.168.1.2/24 - BTK с реално ИП като всички портове са пренасочени към 192.168.1.2

/ip ipsec peer

address=Real IP Mitnici/32:500 auth-method=pre-shared-key

    secret="kluch" generate-policy=no

    exchange-mode=main send-initial-contact=yes nat-traversal=no

    proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des

    dh-group=modp1024 lifetime=3w4d lifebytes=0 dpd-interval=disable-dpd

    dpd-maximum-failures=1

[admin@MikroTik] /ip ipsec policy> print

Flags: X - disabled, D - dynamic, I - inactive

0  src-address=192.168.115.201/32:any dst-address=Local IP MItnici xx.xx.14.17/32:any

    protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes

    sa-src-address=moeto real IP sa-dst-address=Real IP mitnici

    proposal=default priority=0

[admin@MikroTik] /ip ipsec proposal> print

Flags: X - disabled

0  name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m

    pfs-group=modp102

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0  chain=srcnat action=accept src-address=192.168.115.201

    dst-address=vatre6no IP na mitnici xx.xx.14.17

Това е което съм направил, но въпреки това нямам пинг към вътрешнот IP на агениция Митници, който е за проверка на тунела.

Дали съм допуснал някъде грешка или трябва още нещо да се добави.

Благодаря на всички предварително.

[Mupo neTkoB]

от снимката която си дал скрееншот на модзилата ти виждам че си търsил RTFM - Read The Fuck'n Manual

вдига ли се изобщо тунела от микротика?

минавали някоя от фаза 1 или 2?

някакъв лог от микротика?

[kokaracha]

.. което съм направил, но въпреки това нямам пинг към вътрешнот IP на агениция Митници, който е за проверка на тунела.

Проверката на тунела с митници се прави по порт а не по пинг.

Адреса е  ..14.17:8080

[Pavlov]

от снимката която си дал скрееншот на модзилата ти виждам че си търsил RTFM - Read The Fuck'n Manual

вдига ли се изобщо тунела от микротика?

минавали някоя от фаза 1 или 2?

някакъв лог от микротика?

За съжаление manuala не помогна. Точно там пише, че описания IPSec е за версия 4.5 и по-нова и затова попитах дали ще се получи, защото аз съм с 4.11.

Реших да оставя за момент тунела с агенция Митници и да направя IPSec между 2 RB750, но нищо не се получава. Ето какво правя:

[admin@MikroTik] /ip ipsec policy> print

Flags: X - disabled, D - dynamic, I - inactive

0  src-address=192.168.0.0/24:any dst-address=192.168.115.0/24:any

    protocol=all action=encrypt level=require ipsec-protocols=esp

    tunnel=yes sa-src-address=178.169.139.239 sa-dst-address=83.228.42.132

    proposal=default priority=0

[admin@MikroTik] /ip ipsec policy> print

Flags: X - disabled, D - dynamic, I - inactive

0  src-address=192.168.0.0/24:any dst-address=192.168.115.0/24:any

    protocol=all action=encrypt level=require ipsec-protocols=esp

    tunnel=yes sa-src-address=178.169.139.239 sa-dst-address=83.228.42.132

    proposal=default priority=0

[admin@MikroTik] /ip ipsec policy> print

Flags: X - disabled, D - dynamic, I - inactive

0  src-address=192.168.0.0/24:any dst-address=192.168.115.0/24:any

    protocol=all action=encrypt level=require ipsec-protocols=esp

    tunnel=yes sa-src-address=178.169.139.239 sa-dst-address=83.228.42.132

    proposal=default priority=0

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0  chain=srcnat action=accept src-address=192.168.0.0/24

    dst-address=192.168.115.0/24

Ето това е настройката на 1 рутер, като настройките на другия са същите само са обърнати IP адресите. Тунел не се вдига. Пробвам като пусна пинг към Local IP на другия рутер, но въпреки това тунел няма. Не минава нито една фаза. Четох много постове, дори намерих и видео и всичко си е както аз го правя но има проблем явно някъде.

[111111]

ай малка подсвета

кое е по голямо

4,05 или 4,11

четене и пак четене

да не споменавам че актуалната стабилна е още по нова от 4,11

[Pavlov]

ай малка подсвета

кое е по голямо

4,05 или 4,11

четене и пак четене

да не споменавам че актуалната стабилна е още по нова от 4,11

Ми стига 4.5 да означава 4.05. Все пак пробвах да вдигна най-обикновен тунел IPIP между двата RB750 и не се получи. Ще правя update. Между 4.11 и 4.11 IPIP тунела не се получава, но между 5rc11 и 4.11 се получи. Незнам какво се случва и затова ще правя update към 5rc11.

[111111]

няма смисъл да се вкарваме в безсмислени спорове относно бройно редовата система

http://www.mikrotik.com/download/CHANGELOG_4

за момента 4,17 е актуалната версия

относно дали ще работи с агенция митници (като знам финансовата практика) ще работи на 100%

и ако има проблем то той ще е от тяхната страна

[Pavlov]

от снимката която си дал скрееншот на модзилата ти виждам че си търsил RTFM - Read The Fuck'n Manual

вдига ли се изобщо тунела от микротика?

минавали някоя от фаза 1 или 2?

някакъв лог от микротика?

Не не вдига изобщо никакъв тунел. Само да уточня, че единия МТ е на АДСЛ. Пробвах да на направя IPIP и той също не се получаваше, а то се оказа причината в това, че в Local address трябвало да се напише 192.168.1.2, а не реалното ИП. Та някакви идеи защо може да не се вдига тунела. Сега на IPSec също промених sa-src-address на 192.168.1.2. И в двата случая което и ИП да сложа все не се вдига тунела.

Някакви идеи за възможни грешки, които съм направил или пропускам нещо.

Благодаря!

[danielskiii]

а портовете да пренасочиш ?

[Pavlov]

Така успях да вдигна тунела между МТ и  Linksys RVS 4000. Сега обаче имам следния проблем. Компютрите от вътрешната мрежа на МТ нямат ping до адресите от вътрешната мрежан а Linksys-a. Направил съм пренасочване в МТ на мрежите както трябва да си бъде обаче няма резултат. Иначе от МТ като пусна към вътрешни ИП на Linksys-a имам пинг.

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0  chain=srcnat action=accept src-address=10.10.10.0/24

    dst-address=192.168.115.0/24

Някакви идеи?

[111111]

ползвай рутиране

/ip route rule

add action=lookup-only-in-table comment="" disabled=no dst-address=172.16.0.0/24 routing-mark=dzone src-address=10.6.2.0/24 table=main

add action=lookup-only-in-table comment="" disabled=no dst-address=192.168.4.0/24 routing-mark=dzone src-address=10.6.2.0/24 table=main[/code]

[kokaracha]

Абе човеко що не дадеш 5 лева на някои дати вдигне тунелите.Целия панаир ти се се решава за 10 минути.