Проблем с IPsec

[sirmilanov]

Здравейте, колеги,

мъчи ме един странен проблем и моля за съвети.

Имам два рутерборда 751G в различни офиси. Направих си тунел между офисите чрез IPsec, всичко работеше чудесно до момента в който не реших да сменя единия рутерборд с 1100AH. Побърках се от опити да подкарам пак IPsec между новия и единия от 751 борд, но не става и не става. Върнах стария борд, пак си тръгнаха нещата, изтрих конфигурираните IPsec и пак наново започнах да копая, настроих ги по 100 пъти вече и между двата 751G нещата заспиват в миг, а между 1100AH и 751 не става и не става. Ръководя се от тук http://wiki.mikrotik...Manual:IP/IPsec .

Какво се случва всъщност. След като създам и на двата борда Peers, след това Policies, Proposals ползвам по подразбиране и уж всичко е ок, но не би. Проверявам в Installed SAs, но там няма никой.

Гледам за процесора на този 1100AH пише, че бил с IPsec ускорение (каквото и да значи това), вече се чудя дали не съществува някаква перманентна причина за тази неосъществима комуникация между двата вида рутерборда или некви таласъми ми правят номера.

Ето и двете конфигурации

751G

address=95.87.*.*/32 port=500 auth-method=pre-shared-key secret="proba"

generate-policy=no exchange-mode=main send-initial-contact=yes

nat-traversal=no my-id-user-fqdn="" proposal-check=obey hash-algorithm=md5

enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0

dpd-interval=disable-dpd dpd-maximum-failures=1

src-address=10.0.22.0/24 src-port=any dst-address=10.0.20.0/24 dst-port=any

protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes

sa-src-address=78.128.*.* sa-dst-address=95.87.*.* proposal=default

priority=0

1100AH

address=78.128.*.*/32 port=500 auth-method=pre-shared-key secret="proba"

generate-policy=no exchange-mode=main send-initial-contact=yes

nat-traversal=no my-id-user-fqdn="" proposal-check=obey hash-algorithm=md5

enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0

dpd-interval=disable-dpd dpd-maximum-failures=1

src-address=10.0.20.0/24 src-port=any dst-address=10.0.22.0/24

dst-port=any protocol=all action=encrypt level=require

ipsec-protocols=esp tunnel=yes sa-src-address=95.87.*.*

sa-dst-address=78.128.*.* proposal=default priority=0

Ето и конфигурацията на другия 751G повтаряща се на 1100AH, която конфигурация работи безупречно, дори и в момента.

751G

address=78.128.*.*/32 port=500 auth-method=pre-shared-key secret="proba"

generate-policy=no exchange-mode=main send-initial-contact=yes

nat-traversal=no my-id-user-fqdn="" proposal-check=obey

hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d

lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

src-address=10.0.20.0/24 src-port=any dst-address=10.0.22.0/24

dst-port=any protocol=all action=encrypt level=require

ipsec-protocols=esp tunnel=yes sa-src-address=95.87.*.*

sa-dst-address=78.128.*.* proposal=default priority=0

Редактирано 21 Юни, 2012 от sirmilanov

[gbdesign]

Еми пусни L2tp, Open Vpn, pptp, vpls, eoip, защо толкова държиш на IPSec. Също виж дали бордовете са ти с една и съща версия на Микротик, да не би от това да става бeлята.

Редактирано 21 Юни, 2012 от gbdesign

[111111]

Чисто теоретично защо не направиш нова конфигурация както на

1100AH така и на 751G не да модифицираш старата

направи и нов ключ

и все пак логовете какво казват

[Mupo neTkoB]

не че нещо се съмнявам ама на 1100 да не да имаш защитна стена нещо...

[pavlan]

Разлика във версиите ?

[sirmilanov]

И така до къде стигнах, общо взето до под кривата круша. Оказа се че този 1100 борд беше с версия 5.8 и успях да вдигна IPsec с един 751 борд, който също беше с 5.8. Борда с който вчера се мъчех да го свържа беше с с 5.6 ОС. До тук добре, но взех че изтеглих от сайта 5.18ОС и направих ъпгрейд и на 1100 борда и на 751 борда, сега пак не щат да се вържат. И както колегата горе ме подсети да погледна лог-а на IPsec, забелязах че когато рутерите бяха с 5.8 в лога постоянно се записваха опити за конекции, а когато ги настроих и направо си показа че са вързани, сега обаче както са с 5.18, освен че съм създал peer и policies в лог-а нищо друго не се записва. Ще откача.

Сега някой ако може да ми каже от къде да изтегля микротикОС 5.8 за 1100 и за 750, само се надявам да е възможно връщането към по стара версия. И тогава пак мога да си по играя.

[Mupo neTkoB]

http://www.mirror.mikrotik-bg.net/

[111111]

Това че не ти изписва нищо в лога значи че не си казал на лога да дава подробно инфо