PureVPN IKEv2 mikrotik
Добавлено: 22 апр 2022, 02:53
Пытаюсь подружить домашний mikrotik 7.2.1 c PureVPN по протоколу IKEv2. VPN по этому протоколу отлично работает с одного из компа внутри от Windows 11 и StrongSwan под Ubuntu. Цель для части адресов внутренней сети пустить весь трафик через PureVPN.
За основу был взята растиражированная всем VPN инструкция типа таких:
https://support.nordvpn.com/Connectivit ... ordVPN.htm
https://hide.me/ru/vpnsetup/mikrotik/ikev2/
С помощью нее удалось поднять IPsec Peer с проверенным сервером PureVPN
----
/ip ipsec mode-config add name="PureVPN mode config" responder=no src-address-list=under_vpn_list use-responder-dns=exclusively
/ip ipsec policy group add name=PureVPN
/ip ipsec profile add name="PureVPN profile" hash-algorithm=sha384 enc-algorithm=aes-256 dh-group=ecp256,ecp384,ecp521,ec2n185,ec2n155,,modp2048,modp1536,modp1024,modp768 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
/ip ipsec peer add name="PureVPN peer" address=se-ikev.ptoserver.com profile=PureVPN profile exchange-mode=ike2 send-initial-contact=yes
/ip ipsec proposal add name="PureVPN proposal" auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=0s pfs-group=none
/ip ipsec identity add peer=PureVPN peer auth-method=eap eap-methods=eap-mschapv2 mode-config=PureVPN mode config notrack-chain="prerouting" certificate=PureVPN
username="purevpn0s00000000" password="xxxxxxxx" generate-policy=port-strict policy-template-group=PureVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=PureVPN proposal="PureVPN proposal" src-address=0.0.0.0/0 template=yes
/ip firewall address-list add address=192.168.33.95 list=under_vpn_list
/ip firewall address-list add address=192.168.33.98 list=under_vpn_list
/ip firewall address-list add address=192.168.33.99 list=under_vpn_list
-----
Активное соединение с PureVPN поднимается, в таблице NAT появляется нужная запись
chain=srcnat action=src-nat to-addresses=188.72.87.97 src-address-list=under_vpn_list dst-address-list=!under_vpn_list
---
Виже созданное Ipsec Policy
D PureVPN peer yes 188.72.87.97/32 0.0.0.0/0 all encrypt unique 1
---
В активных пирах всё как должно быть
/ip/ipsec/active-peers> print
Flags: N - NATT-PEER
Columns: ID, STATE, UPTIME, PH2-TOTAL, REMOTE-ADDRESS
# ID STATE UPTIME PH2-TOTAL REMOTE-ADDRESS
0 N pointtoserver.com established 12m 1 86.106.103.179
---
В Firewall никакой трафик не дропается.
/ip/firewall/filter print
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
2 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp
3 ;;; defconf: accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1
4 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid log=yes log-prefix="drop"
5 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=yes log-prefix="drop"
7 ;;; defconf: accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
8 ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
9 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related log=no log-prefix=""
10 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""
11 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=yes log-prefix="drop"
12 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=yes log-prefix="drop"
----
Исходящий трафик прекрасно видно при логировании chain=srcnat
Исходящий трафик прекрасно видно при логировании magle postrouting
https://disk.yandex.ru/i/AGaubPngCCIFOQ
Счётчики IPSEC Peer тикают согласно объемам посылаемого трафика
https://disk.yandex.ru/i/URc2hiaDEl5xGg
Но весь обратный трафик из PureVPN где-то теряется в недрах mikrotik. Подскажите куда копать?
За основу был взята растиражированная всем VPN инструкция типа таких:
https://support.nordvpn.com/Connectivit ... ordVPN.htm
https://hide.me/ru/vpnsetup/mikrotik/ikev2/
С помощью нее удалось поднять IPsec Peer с проверенным сервером PureVPN
----
/ip ipsec mode-config add name="PureVPN mode config" responder=no src-address-list=under_vpn_list use-responder-dns=exclusively
/ip ipsec policy group add name=PureVPN
/ip ipsec profile add name="PureVPN profile" hash-algorithm=sha384 enc-algorithm=aes-256 dh-group=ecp256,ecp384,ecp521,ec2n185,ec2n155,,modp2048,modp1536,modp1024,modp768 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
/ip ipsec peer add name="PureVPN peer" address=se-ikev.ptoserver.com profile=PureVPN profile exchange-mode=ike2 send-initial-contact=yes
/ip ipsec proposal add name="PureVPN proposal" auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=0s pfs-group=none
/ip ipsec identity add peer=PureVPN peer auth-method=eap eap-methods=eap-mschapv2 mode-config=PureVPN mode config notrack-chain="prerouting" certificate=PureVPN
username="purevpn0s00000000" password="xxxxxxxx" generate-policy=port-strict policy-template-group=PureVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=PureVPN proposal="PureVPN proposal" src-address=0.0.0.0/0 template=yes
/ip firewall address-list add address=192.168.33.95 list=under_vpn_list
/ip firewall address-list add address=192.168.33.98 list=under_vpn_list
/ip firewall address-list add address=192.168.33.99 list=under_vpn_list
-----
Активное соединение с PureVPN поднимается, в таблице NAT появляется нужная запись
chain=srcnat action=src-nat to-addresses=188.72.87.97 src-address-list=under_vpn_list dst-address-list=!under_vpn_list
---
Виже созданное Ipsec Policy
D PureVPN peer yes 188.72.87.97/32 0.0.0.0/0 all encrypt unique 1
---
В активных пирах всё как должно быть
/ip/ipsec/active-peers> print
Flags: N - NATT-PEER
Columns: ID, STATE, UPTIME, PH2-TOTAL, REMOTE-ADDRESS
# ID STATE UPTIME PH2-TOTAL REMOTE-ADDRESS
0 N pointtoserver.com established 12m 1 86.106.103.179
---
В Firewall никакой трафик не дропается.
/ip/firewall/filter print
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
2 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp
3 ;;; defconf: accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1
4 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid log=yes log-prefix="drop"
5 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=yes log-prefix="drop"
7 ;;; defconf: accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
8 ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
9 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related log=no log-prefix=""
10 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""
11 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=yes log-prefix="drop"
12 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=yes log-prefix="drop"
----
Исходящий трафик прекрасно видно при логировании chain=srcnat
Исходящий трафик прекрасно видно при логировании magle postrouting
https://disk.yandex.ru/i/AGaubPngCCIFOQ
Счётчики IPSEC Peer тикают согласно объемам посылаемого трафика
https://disk.yandex.ru/i/URc2hiaDEl5xGg
Но весь обратный трафик из PureVPN где-то теряется в недрах mikrotik. Подскажите куда копать?