Russian Users MikroTik | Форум пользователей MikroTik

Добрый вечер!
Пытаюсь настроить статихеский site-to-site туннель между двумя микротиками. На одной стороне LAN 10.161.0.0/21 (gw 10.161.0.1), на другой LAN 10.161.8.0/21 (gw 10.161.10.1). Оба "Микротика" ходят в Инет через PPPoE и оба WAN'овских интерфейса имеют DDNS. Пытаюсь делать "по примеру":

(1) первый сайт, основной

Код: Выделить всё

/ip ipsec peer add \
address=DDNS2 nat-traversal=yes auth-method=pre-shared-key secret="12345"
/ip ipsec policy add \
src-address=10.161.0.0/21 src-port=any dst-address=10.161.8.0/21 dst-port=any \
sa-src-address=DDNS1 sa-dst-address=DDNS2 \
tunnel=yes action=encrypt proposal=default
/ip firewall nat add \
chain=srcnat action=accept place-before=0
src-address=10.161.0.0/21 dst-address=10.161.8.0/21

/ip route add disabled=no distance=1 scope=30 target-scope=10 \
dst-address=10.161.8.0/21 gateway=10.161.0.1

(2) второй сайт, доп.офис

Код: Выделить всё

/ip ipsec peer add comment="IPsec Peer to Safianovo" \
address=DDNS1 nat-traversal=yes auth-method=pre-shared-key secret="12345"
/ip ipsec policy add \
src-address=10.161.8.0/21 src-port=any dst-address=10.161.0.0/21 dst-port=any \
sa-src-address=DDNS2 sa-dst-address=DDNS1 \
tunnel=yes action=encript proposal=default
/ip firewall nat add \
chain=srcnat action=accept  place-before=0 \
src-address=10.161.8.0/21 dst-address=10.161.0.0/21
/ip route add disabled=no distance=1 scope=30 target-scope=10 \
dst-address=10.161.0.0/21 gateway=10.161.10.1

Очевидно, что есть скрипты на обеих маршрутизатоеав, обновляющих DDNS и ipsec peer / ipsec policy на предмет корректировки адресов. В общем, вопрос в том, что "включаешь - не работает". IPsec не поднимается. Где делаю не так?

Заранее спасибо,

1 включите логирование IPSec и смотрите, что приходит.
2 Порты и протоколы в файрволе открыли?

Vladislav_A писал(а):1 включите логирование IPSec и смотрите, что приходит.
2 Порты и протоколы в файрволе открыли?

/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall filter add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no

Порты, естественно, открыты. Логгирование включил (добавил ipsec в темы), сегодня погляжу.

Vladislav_A писал(а):1 включите логирование IPSec и смотрите, что приходит.
2 Порты и протоколы в файрволе открыли?

/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall filter add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no

Вот что в логе появляется. Несколько раз пробует послать пакеты, потом, в конце выходит время. Такое на обоих конца. Открыты порты 500, 4500, 1701.

Лог

Код: Выделить всё

17:30:00 ipsec,debug,packet resend phase1 packet c1a485944e7f29bf:0000000000000000 
17:30:10 ipsec,debug,packet 348 bytes from 5.139.128.58[500] to 77.66.234.235[500] 
17:30:10 ipsec,debug,packet sockname 5.139.128.58[500] 
17:30:10 ipsec,debug,packet send packet from 5.139.128.58[500] 
17:30:10 ipsec,debug,packet send packet to 77.66.234.235[500] 
17:30:10 ipsec,debug,packet src4 5.139.128.58[500] 
17:30:10 ipsec,debug,packet dst4 77.66.234.235[500] 
17:30:10 ipsec,debug,packet 1 times of 348 bytes message will be sent to 77.66.234.235[500] 
17:30:10 ipsec,debug,packet c1a48594 4e7f29bf 00000000 00000000 01100200 00000000 0000015c 0d00003c 
17:30:10 ipsec,debug,packet 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004 
17:30:10 ipsec,debug,packet 00015180 80010007 800e0100 80030001 80020002 80040002 0d000014 4a131c81 
17:30:10 ipsec,debug,packet 07035845 5c5728f2 0e95452f 0d000014 8f8d8382 6d246b6f c7a8a6a4 28c11de8 
17:30:10 ipsec,debug,packet 0d000014 439b59f8 ba676c4c 7737ae22 eab8f582 0d000014 4d1e0e13 6deafa34 
17:30:10 ipsec,debug,packet c4f3ea9f 02ec7285 0d000014 80d0bb3d ef54565e e84645d4 c85ce3ee 0d000014 
17:30:10 ipsec,debug,packet 9909b64e ed937c65 73de52ac e952fa6b 0d000014 7d9419a6 5310ca6f 2c179d92 
17:30:10 ipsec,debug,packet 15529d56 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014 90cb8091 
17:30:10 ipsec,debug,packet 3ebb696e 086381b5 ec427b1f 0d000014 16f6ca16 e4a4066d 83821a0f 0aeaa862 
17:30:10 ipsec,debug,packet 0d000014 4485152d 18b6bbcd 0be8a846 9579ddcc 0d000014 12f5f28c 457168a9 
17:30:10 ipsec,debug,packet 702d9fe2 74cc0100 00000014 afcad713 68a1f1c9 6b8696fc 77570100 
17:30:10 ipsec,debug,packet resend phase1 packet c1a485944e7f29bf:0000000000000000 
17:30:19 ipsec,debug,packet 348 bytes from 5.139.128.58[500] to 77.66.234.235[500] 
17:30:19 ipsec,debug,packet sockname 5.139.128.58[500] 
17:30:19 ipsec,debug,packet send packet from 5.139.128.58[500] 
17:30:19 ipsec,debug,packet send packet to 77.66.234.235[500] 
17:30:19 ipsec,debug,packet src4 5.139.128.58[500] 
17:30:19 ipsec,debug,packet dst4 77.66.234.235[500] 
17:30:19 ipsec,debug,packet 1 times of 348 bytes message will be sent to 77.66.234.235[500] 
17:30:19 ipsec,debug,packet c1a48594 4e7f29bf 00000000 00000000 01100200 00000000 0000015c 0d00003c 
17:30:19 ipsec,debug,packet 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004 
17:30:19 ipsec,debug,packet 00015180 80010007 800e0100 80030001 80020002 80040002 0d000014 4a131c81 
17:30:19 ipsec,debug,packet 07035845 5c5728f2 0e95452f 0d000014 8f8d8382 6d246b6f c7a8a6a4 28c11de8 
17:30:19 ipsec,debug,packet 0d000014 439b59f8 ba676c4c 7737ae22 eab8f582 0d000014 4d1e0e13 6deafa34 
17:30:19 ipsec,debug,packet c4f3ea9f 02ec7285 0d000014 80d0bb3d ef54565e e84645d4 c85ce3ee 0d000014 
17:30:19 ipsec,debug,packet 9909b64e ed937c65 73de52ac e952fa6b 0d000014 7d9419a6 5310ca6f 2c179d92 
17:30:19 ipsec,debug,packet 15529d56 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014 90cb8091 
17:30:19 ipsec,debug,packet 3ebb696e 086381b5 ec427b1f 0d000014 16f6ca16 e4a4066d 83821a0f 0aeaa862 
17:30:19 ipsec,debug,packet 0d000014 4485152d 18b6bbcd 0be8a846 9579ddcc 0d000014 12f5f28c 457168a9 
17:30:19 ipsec,debug,packet 702d9fe2 74cc0100 00000014 afcad713 68a1f1c9 6b8696fc 77570100 
17:30:19 ipsec,debug,packet resend phase1 packet c1a485944e7f29bf:0000000000000000 
17:30:29 ipsec,debug phase1 negotiation failed due to time up. c1a485944e7f29bf:0000000000000000

А на втором вот увидел такое:

Еще лог

Код: Выделить всё

22:05:22 ipsec,debug,packet ========== 
22:05:22 ipsec,debug,packet 348 bytes message received from 5.139.128.58[500] to 77.66.234.235[500] 
22:05:22 ipsec,debug,packet b5743115 26457844 00000000 00000000 01100200 00000000 0000015c 0d00003c 
22:05:22 ipsec,debug,packet 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004 
22:05:22 ipsec,debug,packet 00015180 80010007 800e0100 80030001 80020002 80040002 0d000014 4a131c81 
22:05:22 ipsec,debug,packet 07035845 5c5728f2 0e95452f 0d000014 8f8d8382 6d246b6f c7a8a6a4 28c11de8 
22:05:22 ipsec,debug,packet 0d000014 439b59f8 ba676c4c 7737ae22 eab8f582 0d000014 4d1e0e13 6deafa34 
22:05:22 ipsec,debug,packet c4f3ea9f 02ec7285 0d000014 80d0bb3d ef54565e e84645d4 c85ce3ee 0d000014 
22:05:22 ipsec,debug,packet 9909b64e ed937c65 73de52ac e952fa6b 0d000014 7d9419a6 5310ca6f 2c179d92 
22:05:22 ipsec,debug,packet 15529d56 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014 90cb8091 
22:05:22 ipsec,debug,packet 3ebb696e 086381b5 ec427b1f 0d000014 16f6ca16 e4a4066d 83821a0f 0aeaa862 
22:05:22 ipsec,debug,packet 0d000014 4485152d 18b6bbcd 0be8a846 9579ddcc 0d000014 12f5f28c 457168a9 
22:05:22 ipsec,debug,packet 702d9fe2 74cc0100 00000014 afcad713 68a1f1c9 6b8696fc 77570100 
22:05:22 ipsec,debug,packet begin. 
22:05:22 ipsec,debug,packet seen nptype=1(sa) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet seen nptype=13(vid) 
22:05:22 ipsec,debug,packet succeed. 
22:05:22 ipsec,debug received Vendor ID: RFC 3947 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-08 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-07 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-06 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-05 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-04 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-03 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 
22:05:22 ipsec,debug 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-01 
22:05:22 ipsec,debug received Vendor ID: draft-ietf-ipsec-nat-t-ike-00 
22:05:22 ipsec,debug received Vendor ID: CISCO-UNITY 
22:05:22 ipsec,debug received Vendor ID: DPD 
22:05:22 ipsec,debug Selected NAT-T version: RFC 3947 
22:05:22 ipsec,debug,packet total SA len=56 
22:05:22 ipsec,debug,packet 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004 
22:05:22 ipsec,debug,packet 00015180 80010007 800e0100 80030001 80020002 80040002 
22:05:22 ipsec,debug,packet begin. 
22:05:22 ipsec,debug,packet seen nptype=2(prop) 
22:05:22 ipsec,debug,packet succeed. 
22:05:22 ipsec,debug,packet proposal #1 len=48 
22:05:22 ipsec,debug,packet begin. 
22:05:22 ipsec,debug,packet seen nptype=3(trns) 
22:05:22 ipsec,debug,packet succeed. 
22:05:22 ipsec,debug,packet transform #1 len=40 
22:05:22 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds 
22:05:22 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4 
22:05:22 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
22:05:22 ipsec,debug,packet encryption(aes) 
22:05:22 ipsec,debug,packet type=Key Length, flag=0x8000, lorv=256 
22:05:22 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-shared key 
22:05:22 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA 
22:05:22 ipsec,debug,packet hash(sha1) 
22:05:22 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit MODP group 
22:05:22 ipsec,debug,packet hmac(modp1024) 
22:05:22 ipsec,debug,packet pair 1: 
22:05:22 ipsec,debug,packet  0x4dfa90: next=(nil) tnext=(nil) 
22:05:22 ipsec,debug,packet proposal #1: 1 transform 
22:05:22 ipsec,debug,packet prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1 
22:05:22 ipsec,debug,packet trns#=1, trns-id=IKE 
22:05:22 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds 
22:05:22 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4 
22:05:22 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
22:05:22 ipsec,debug,packet type=Key Length, flag=0x8000, lorv=256 
22:05:22 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-shared key 
22:05:22 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA 
22:05:22 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit MODP group 
22:05:22 ipsec,debug,packet Compared: DB:Peer 
22:05:22 ipsec,debug,packet (lifetime = 86400:86400) 
22:05:22 ipsec,debug,packet (lifebyte = 0:0) 
22:05:22 ipsec,debug,packet enctype = AES-CBC:AES-CBC 
22:05:22 ipsec,debug,packet (encklen = 256:256) 
22:05:22 ipsec,debug,packet hashtype = MD5:SHA 
22:05:22 ipsec,debug,packet authmethod = pre-shared key:pre-shared key 
22:05:22 ipsec,debug,packet dh_group = 1024-bit MODP group:1024-bit MODP group 
22:05:22 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds 
22:05:22 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4 
22:05:22 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
22:05:22 ipsec,debug,packet type=Key Length, flag=0x8000, lorv=256 
22:05:22 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-shared key 
22:05:22 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA 
22:05:22 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit MODP group 
22:05:22 ipsec,debug rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) = MD5:SHA 
22:05:22 ipsec,debug no suitable proposal found. 
22:05:22 ipsec,debug failed to get valid proposal.

Увидел, что не совпадали хэш-алгоритмы. Исправил, по логам

Код: Выделить всё

00:02:23 ipsec,de00:02:23 ipsec,debug,packet hash validated. 
00:02:23 ipsec,debug,packet begin. 
00:02:23 ipsec,debug,packet seen nptype=8(hash) 
00:02:23 ipsec,debug,packet seen nptype=11(notify) 
00:02:23 ipsec,debug,packet succeed. 
00:02:23 ipsec,debug,packet DPD R-U-There-Ack received 
00:02:23 ipsec,debug,packet received an R-U-THERE-ACK 
bug,packet hash validated. 
00:02:23 ipsec,debug,packet begin. 
00:02:23 ipsec,debug,packet seen nptype=8(hash) 
00:02:23 ipsec,debug,packet seen nptype=11(notify) 
00:02:23 ipsec,debug,packet succeed. 
00:02:23 ipsec,debug,packet DPD R-U-There-Ack received 
00:02:23 ipsec,debug,packet received an R-U-THERE-ACK

Но почему-то пинги на противоположную сторону не ходят:
[vomus@Voenved] > ping 10.161.0.1

Код: Выделить всё

HOST                                     SIZE TTL TIME  STATUS                                                                                                 
80.80.111.70                               56 255 21ms  admin prohibited                                                                                       
80.80.111.70                               56 255 63ms  admin prohibited                                                                                       
80.80.111.70                               56 255 56ms  admin prohibited                                                                                       
80.80.111.70                               56 255 63ms  admin prohibited                                                                                       
80.80.111.70                               56 255 78ms  admin prohibited                                                                                       
    sent=5 received=0 packet-loss=100%

vomus

Но почему-то пинги на противоположную сторону не ходят:

Ну так пищет же - admin prohibited = запрещено администратором
Смотрите, что еще запрещено в firewall - e

Камрады, у меня другая проблема. Есть микротик, на котором поднят l2tp ipsec. Это в первом офисе. Во втором офисе нужно клиентские машины подключить через впн к этому микротику.
Впн поднялся и работает, но только если подключаться с разных IP. По отдельности каждый клиент может подключиться и работать, но как только подключается второй, то первый отваливается. Логины и пароли у всех разные.

Сделайте каждому клиенту свой туннель.

VPN L2TP Mikrotik

Russian Users MikroTik | Форум пользователей MikroTik

IPsec между двумя "Микротиками" - не работает

IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает

Re: IPsec между двумя "Микротиками" - не работает