Я на несколько часов, для исключения влияния firewall'а, полностью отключал firewall ! Проблема осталась.
И, кстати, похоже, что там, где я отключил IPSec, Gre начал автоматом подниматься корректно - как в этом случае правильно диагностировать IPSec?
Просто в логах кроме ISAKMP-SA established и GRE up/down - ничего информативного нет(
Мож надо лог "допилить"?
Не "поднимается" GRE интерфейс
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну все-таки если на обоих концах SA устанавливается и все это затыкается именно на этапе поднятия GRE туннеля, то проблема должна быть не в ipsec'е.
Конфиг прикладывайте.
Конфиг прикладывайте.
Telegram: @thexvo
-
dskdimon
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Там конфиг немаленький, особенного у "серверного" тика. Мож какую то определённую часть показать будет достаточно?
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну собственно настройки самого gre, потом firewall, nat, маршруты.
Telegram: @thexvo
-
dskdimon
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Конфиг самого проблемного "клиента"
/export compact
# oct/24/2019 22:20:45 by RouterOS 6.45.6
# software id = 41RY-XFLQ
#
# model = 951G-2HnD
# serial number = 642E06408425
/interface bridge
add fast-forward=no name=bridge1
...
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface gre
add allow-fast-path=no ipsec-secret=xxxxxx local-address=93.xxx.xxx.114 name=GRE1-to-x remote-address=93.xxx.xxx.234
...
/ip address
add address=192.168./24 interface=bridge1 network=192.168.
add address=172.16.xx.xx/30 interface=GRE1-to-x network=172.16.xx.0
add address=93.xxx.xxx.114/24 interface=ether1 network=93.xxx.xxx.0
...
/ip firewall nat
add action=netmap chain=dstnat dst-address=93.xxx.xxx.114 dst-port=x protocol=tcp to-addresses=192.168.x.x to-ports=x
add action=masquerade chain=srcnat out-interface=ether1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=93.xxx.xxx.1 pref-src=192.168.x
add comment="route to x through GRE-tunnel" distance=1 dst-address=192.168.x.0/24 gateway=172.16.xx.1 pref-src=192.168.x
add comment="route to x through GRE-tunnel" distance=1 dst-address=192.168.x.0/24 gateway=172.16.xx.1 pref-src=192.168.x
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/export compact
# oct/24/2019 22:20:45 by RouterOS 6.45.6
# software id = 41RY-XFLQ
#
# model = 951G-2HnD
# serial number = 642E06408425
/interface bridge
add fast-forward=no name=bridge1
...
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface gre
add allow-fast-path=no ipsec-secret=xxxxxx local-address=93.xxx.xxx.114 name=GRE1-to-x remote-address=93.xxx.xxx.234
...
/ip address
add address=192.168./24 interface=bridge1 network=192.168.
add address=172.16.xx.xx/30 interface=GRE1-to-x network=172.16.xx.0
add address=93.xxx.xxx.114/24 interface=ether1 network=93.xxx.xxx.0
...
/ip firewall nat
add action=netmap chain=dstnat dst-address=93.xxx.xxx.114 dst-port=x protocol=tcp to-addresses=192.168.x.x to-ports=x
add action=masquerade chain=srcnat out-interface=ether1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=93.xxx.xxx.1 pref-src=192.168.x
add comment="route to x through GRE-tunnel" distance=1 dst-address=192.168.x.0/24 gateway=172.16.xx.1 pref-src=192.168.x
add comment="route to x through GRE-tunnel" distance=1 dst-address=192.168.x.0/24 gateway=172.16.xx.1 pref-src=192.168.x
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Код: Выделить всё
set pptp disabled=yesЯ же уже писал об этом.
В текущих версиях есть баг, что gre без этого не работает именно так, как он не работает у вас.
А вы это видимо проигнорировали.
Telegram: @thexvo
-
dskdimon
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Сорри, включил pptp helper
-
dskdimon
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Здравствуйте. После включения pptp helper ничего не изменилось(
При включенном ipsec'е ISAKMP-SA established, но gre-туннель не поднимается.
Туннель у меня в такой ситуации поднимается в двух случаях:
1) отключение ipsec
2) Отключение туннеля с обеих сторон на продолжительное время, не менее 30 минут.
Firewall отключен! (от слова "совсем")
На скрине лог 951-го "клиентского" тика.
При включенном ipsec'е ISAKMP-SA established, но gre-туннель не поднимается.
Туннель у меня в такой ситуации поднимается в двух случаях:
1) отключение ipsec
2) Отключение туннеля с обеих сторон на продолжительное время, не менее 30 минут.
Firewall отключен! (от слова "совсем")
На скрине лог 951-го "клиентского" тика.
- Вложения
-
- 951_ipsec_pptp.jpg (24.61 КБ) 8205 просмотров
-
- 951_ipsec_err1.jpg
- (305.15 КБ) 0 скачиваний
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну, у меня как-то больше нет идей.
Telegram: @thexvo
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
А вообще, вы вот пишете, что у вас достаточно сложный конфиг на сервере: два провайдера, значит две группы маршрутов, наверняка манглы.
Может у вас что-то не через того провайдера улетает?
Может у вас что-то не через того провайдера улетает?
Telegram: @thexvo