ipsec через usb модем не подключается

[user2k]

Здравствуйте.
Пытаюсь связать центральный и доп офис туннелем gre over ipsec через usb modem, но как только навешиваю ipsec, gre туннель отваливается. Ошибка phase 1 negotiation failed due to time up
Вкратце схема такая в центральном два интернет-канала с постоянными белыми адресами. В допнике (доп офис) два канала - один основной с белым ip, второй канал за натом на через USB модем. на модеме белый адрес, а микрот соответственно получает адрес вида 192.162.1.2 от модема.
Так вот ipsec не взлетает в туннеле от офиса до допника, когда допник сидит на резереве через модем. без ipsec Gre туннель поднимается без проблем.

Конфиг микрота на стороне доп офиса прилагаю. В центральном схема аналогичная.
В цепочке input стоят разрешающие правила для протоколов: 47,50,51, а так же udp c портами 1701, 500, 4500.
В модеме проброшены вышеуказанные udp порты до микрота.

Подозреваю, что проблема в NAt, но ведь опция nat-t включена. Что еще может не хватать?

ip address print

 

0 172.25.13.0/25 ether2
1 белый адрес допофиса ether1
2 192.168.1.2/30 192.168.1.0 lte1
3 10.10.11.66/30 10.10.11.64 main01
4 10.10.11.70/30 10.10.11.68 main02
5 10.10.11.74/30 10.10.11.72 rezerv01
6 10.10.11.78/30 10.10.11.76 rezerv02

interface gre print

 

Flags: X - disabled, R - running
0 R name="main01" mtu=auto actual-mtu=1426 local-address=белый адрес допофиса remote-address=белый адрес центрального dscp=inherit clamp-tcp-mss=no dont-fragment=no ipsec-secret="secret" allow-fast-path=no

1 R name="main02" mtu=auto actual-mtu=1426 local-address=белый адрес допофиса remote-address=второй белый адрес центрального dscp=inherit clamp-tcp-mss=no dont-fragment=no ipsec-secret="secret" allow-fast-path=no

2 R name="rezerv01" mtu=auto actual-mtu=1476 local-address=192.168.1.2 remote-address=белый адрес центрального dscp=inherit clamp-tcp-mss=no dont-fragment=no ipsec-secret="secret" allow-fast-path=no

3 R name="rezerv02" mtu=auto actual-mtu=1476 local-address=192.168.1.2 remote-address=второй белый адрес центрального dscp=inherit clamp-tcp-mss=no dont-fragment=no ipsec-secret="secret" allow-fast-path=no

ip ipsec> policy print

 

Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 TX* group=default src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=all proposal=default template=yes

1 D ;;; gre-tunnel1
src-address=белый адрес допника/32 src-port=any dst-address=белый адрес центрального/32
dst-port=any protocol=gre action=encrypt level=require
ipsec-protocols=esp tunnel=no sa-src-address=белый адрес допника
sa-dst-address=белый адрес центрального priority=0

2 D ;;; gre-tunnel2
src-address=белый адрес допника/32 src-port=any dst-address=второй белый адрес центрального/32
dst-port=any protocol=gre action=encrypt level=require
ipsec-protocols=esp tunnel=no sa-src-address=белый адрес допника
sa-dst-address=второй белый адрес центрального priority=0

3 D ;;; gre-tunnel3
src-address=192.168.1.2/32 src-port=any dst-address=белый адрес центрального/32
dst-port=any protocol=gre action=encrypt level=require
ipsec-protocols=esp tunnel=no sa-src-address=192.168.1.2
sa-dst-address=белый адрес центрального priority=0

4 D ;;; gre-tunnel4
src-address=192.168.1.2/32 src-port=any dst-address=второй белый адрес центрального/32
dst-port=any protocol=gre action=encrypt level=require
ipsec-protocols=esp tunnel=no sa-src-address=192.168.1.2
sa-dst-address=второй белый адрес центрального priority=0

/ip ipsec> proposal print

 

Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024

ip ipsec peer print

 

Flags: X - disabled, D - dynamic
0 D ;;; gre-tunnel1
address= белый адрес центрального/32 local-address=белый адрес допника passive=no port=500 auth-method=pre-shared-key secret="secret" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=yes
proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

1 D ;;; gre-tunnel2
address=второй белый адрес центрального/32 local-address=белый адрес допника passive=no port=500 auth-method=pre-shared-key secret="secret" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=yes
proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

2 D ;;; gre-tunnel3
address= белый адрес центрального/32 local-address=192.168.1.2 passive=no port=500 auth-method=pre-shared-key secret="secret" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=yes
proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

3 D ;;; gre-tunnel4
address=второй белый адрес центрального/32 local-address=192.168.1.2 passive=no port=500 auth-method=pre-shared-key secret="secret" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=yes
proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

ip firewall nat print

 

Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=src-nat to-addresses=192.168.1.2 dst-address=192.168.1.1 log-prefix=""

17 ;;; Inet
chain=srcnat action=masquerade out-interface=ether1 log-prefix=""

18 ;;; Inet huawei
chain=srcnat action=masquerade out-interface=lte1 log-prefix=""

[podarok66]

Почитайте темку, возможно у вас тоже самое с провайдером viewtopic.php?f=1&t=7137

[user2k]

Почитайте темку, возможно у вас тоже самое с провайдером viewtopic.php?f=1&t=7137

к сожалению там не мой случай.

[user2k]

Возможно, дело в режиме работы вашего модема, судя из изложенного, он у вас работает в hilink-е, являясь еще одним роутером со своей маршрутизацией и натом, стоит попробовать перешить его в stick и проверить работоспособность без лишнего звена (недороутера в модеме).

Как будет такая возможность, попробую.

меня посетила "гениальная" мысль, а что если поднять сначала один не шифрованный vpn, а в нем создать шифрованный туннель? -)

udp В общем, так и сделал. Поднял сначала gre туннель, настроил чтобы его трафик ходил через интерфейс резервного канала. Далее поднял Ipip туннель и навесил на него ipsec, все взлетело. Осталось только понять насколько безопасно такое соединение =)

[user2k]

Обновился на 6.38.1 и ipsec взлетел с пол оборота.