KorDen Posted July 12, 2017 Share Posted July 12, 2017 (edited) Столкнулся тут с некритичной проблемой на 2.10.A.3.0-4, которую не было возможности толком проверить с селфтестами, т.к. надо было срочно. Ultra II, уже настроены VirtualIP и автотуннель IPIP IKEv2. Giga II, с дефолтных настроек настроен интернет-wifi, перезагружен. Создаю новый автотуннель между ними (NAT нет), условный конфиг: Скрытый текст interface IPIP3 security-level protected ip address 192.168.192.9 255.255.255.252 ip dhcp client no dns-routes ip dhcp client no name-servers ip mtu 1420 ip tcp adjust-mss pmtu ipsec preshared-key blablabla ipsec encryption-level strong ipsec ikev2 tunnel source ISP up ! До первой перезагрузки Giga II после настройки туннеля IPsec взлетал, но пакеты по туннелю не ходили - в логах появлялось только EIP inbound для гиги (outbound для ультры), а outbound не появлялось. После перезагрузки гиги взлетело. Такое ощущение, что что-то недоинициализировалось находу (это было первое IPsec-соединение на гиге получается) Edited July 12, 2017 by KorDen Quote Link to comment Share on other sites More sharing options...
r13 Posted July 23, 2017 Share Posted July 23, 2017 В 04.07.2017 в 10:20, Le ecureuil сказал: У Dacha proposal отличается о того, что используется у IPIP2: [I] Jul 3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2". Попробуйте вот такие настройки: crypto ike proposal 4Dacha encryption aes-cbc-256 encryption aes-cbc-128 dh-group 14 dh-group 5 integrity sha1 ! crypto ike policy 4Dacha proposal 4Dacha lifetime 28800 mode ikev2 ! crypto ipsec transform-set 4Dacha cypher esp-aes-256 cypher esp-aes-128 hmac esp-sha1-hmac dh-group 14 dh-group 5 lifetime 3600 ! Порядок encryption, hmac, intergrity и dh-group важен! Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test. Результат тот же: [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test". [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test". [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test". Селфтест далее Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted July 24, 2017 Author Share Posted July 24, 2017 В 7/23/2017 в 19:14, r13 сказал: Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test. Результат тот же: [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test". [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test". [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test". Селфтест далее Поправлено. Точное описание каждого уровня в ближайшем будущем появится в CLI guide, ожидайте. 2 Quote Link to comment Share on other sites More sharing options...
r13 Posted July 25, 2017 Share Posted July 25, 2017 В 24.07.2017 в 18:40, Le ecureuil сказал: Поправлено. Точное описание каждого уровня в ближайшем будующем появится в CLI guide, ожидайте. Разнотипные туннели начали уживаться спасибо. Quote Link to comment Share on other sites More sharing options...
utya Posted August 21, 2017 Share Posted August 21, 2017 А такой вопрос, настроил ipsec (через) между двумя роутерами. Получится ли мне поднять в этом vpn, eoip? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 21, 2017 Author Share Posted August 21, 2017 50 минут назад, utya сказал: А такой вопрос, настроил ipsec (через) между двумя роутерами. Получится ли мне поднять в этом vpn, eoip? А смысл, если можно сразу автотуннель сделать? А так да, пожалуйста. Quote Link to comment Share on other sites More sharing options...
utya Posted August 25, 2017 Share Posted August 25, 2017 Подскажите всё ли правильно. Поднял Ipsec site-to-site, всё работает. Потом на базе этого захотел eoip. (config)> interface IPIP0 (config-if)> tunnel destination #IP из тунеля# (config-if)> up Затем бридж на локалку (config)> interface Home (config-if)> include EoIP0 Всё после этого броудкаст должен ходить? или ещё чёто надо сделать? Quote Link to comment Share on other sites More sharing options...
KorDen Posted August 26, 2017 Share Posted August 26, 2017 Увидел промелькнувший в логах system failed, решил поделиться self-test'ом. Лог с "клиента", в 19:43 обновлял прошивку на "сервере" Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": IPsec client layer is up, do start tunnel layer. [C] Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": system failed [0xcffd02bd], unable to change tunnel: file exists. [C] Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": system failed [0xcffd00b0]. Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": secured tunnel is ready. Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 В 25.08.2017 в 19:29, utya сказал: Подскажите всё ли правильно. Поднял Ipsec site-to-site, всё работает. Потом на базе этого захотел eoip. (config)> interface IPIP0 (config-if)> tunnel destination #IP из тунеля# (config-if)> up Затем бридж на локалку (config)> interface Home (config-if)> include EoIP0 Всё после этого броудкаст должен ходить? или ещё чёто надо сделать? У вас как то странно все, интерфейс создаете IPIP0, а в бридж включаете EoIP0. Проверьте еще раз конфиги. Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 Только что, r13 сказал: У вас как то странно все, интерфейс создаете IPIP0, а в бридж включаете EoIP0. Проверьте еще раз конфиги. да опечатался, включал EoIP0 Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 Только что, utya сказал: да опечатался, включал EoIP0 Показывайте все настройки если расчитываете на помощь не только от @Le ecureuil И если используете туннель без ipsec, то с обоих концов должны быть белые ip. Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 Только что, r13 сказал: Показывайте все настройки если расчитываете на помощь не только от @Le ecureuil И если используете туннель без ipsec, то с обоих концов должны быть белые ip. селф-тесты приложил, постом почти сразу ниже скрытым. Все ip белые. Но думаю щас выложу открытые, может сделать захват пакетов на каком то интерфейсе? Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 8 минут назад, utya сказал: селф-тесты приложил, постом почти сразу ниже скрытым. Все ip белые. Но думаю щас выложу открытые, может сделать захват пакетов на каком то интерфейсе? Вы сначала без всяких бриджей убедитесь в работоспособности туннеля, а потом уже усложняйте конструкцию. Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 (edited) В 28.08.2017 в 12:03, r13 сказал: Вы сначала без всяких бриджей убедитесь в работоспособности туннеля, а потом уже усложняйте конструкцию. да,я уже бриджы убрал. первый роутер interface EoIP0 mac address 0e:c0:b6:2e:a3:16 security-level private ip address 192.168.100.2 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers tunnel destination xx.yyy1.ru tunnel eoip id 1500 no isolate-private up второй роутер interface EoIP0 mac address 36:01:3f:16:03:97 security-level private ip address 192.168.100.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers tunnel destination xx.zzz.ru tunnel eoip id 1500 no isolate-private up Edited August 30, 2017 by utya внёс коррективы согласно замечания Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 Только что, utya сказал: да,я уже бриджы убрал. первый роутер interface EoIP0 mac address 0e:c0:b6:2e:a3:16 security-level public ip address 192.168.100.2 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers tunnel destination xx.yyy1.ru tunnel eoip id 1500 up второй роутер interface EoIP0 mac address 36:01:3f:16:03:97 security-level public ip address 192.168.100.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers tunnel destination xx.zzz.ru tunnel eoip id 1500 up У вас security-level public на итерфейсах Отсюда вопрос: firewall настраивали для пропуска пакетов по туннелю? Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 (edited) 8 минут назад, r13 сказал: У вас security-level public на итерфейсах Отсюда вопрос: firewall настраивали для пропуска пакетов по туннелю? я думал что оно всё автоматом откроется А какой порт открыть? security-level private это спасёт меня? Edited August 28, 2017 by utya Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 (edited) 6 минут назад, utya сказал: security-level private это спасёт меня? Да спасет. но нужно выполнить команду no isolate-private для public все как у всех: все входящие соединения по умолчанию закрыты. настройки как для любого другого интерфейса, на вкладке межсетефого экрана. Edited August 28, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 вот спасибо, заработал!!! Теперь можно в бридж добавлять и ipsec прикручивать? Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 5 минут назад, utya сказал: вот спасибо, заработал!!! Теперь можно в бридж добавлять и ipsec прикручивать? Да, сначала ipsec, потом бриж. ЗЫ А потом решение граблей с dhcp если с обоих сторон работают dhcp сервера 1 Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 2 минуты назад, r13 сказал: Да, сначала ipsec, потом бриж. ЗЫ А потом решение граблей с dhcp если с обоих сторон работают dhcp сервера Вот насчёт dhcp хотел спросить, обазятельно один отключить? у меня всё юзера тогда отпадут если не будет инета Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 (edited) 2 минуты назад, utya сказал: Вот насчёт dhcp хотел спросить, обазятельно один отключить? у меня всё юзера тогда отпадут если не будет инета У вас будет единый сегмент с 2 серверами, если это никак не разграничивать, то клиенты будут рандомно получать ip от любого из доступных серверов. Edited August 28, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 Только что, r13 сказал: У вас будет единый сегмент с 2 серверами, если это никак не разграничивать, то клиенты будут рандомно получать ip от любого из доступных серверов. ок тогда надо будет погуглить как это красиво сделать, чтобы если канал упадёт, изолированные клиенты не сломались Quote Link to comment Share on other sites More sharing options...
arbayten Posted August 28, 2017 Share Posted August 28, 2017 1 час назад, utya сказал: какой порт открыть если в web-gui нет в выпадающем списке - по аналогии с icmp, то надо протокол ip за номером 47 открыть, видимо, через cli - (config-acl)> permit gre ... если по-другому номер не указать 1 Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 6 минут назад, arbayten сказал: если в web-gui нет в выпадающем списке - по аналогии с icmp, то надо протокол ip за номером 47 открыть, видимо, через cli - (config-acl)> permit gre ... если по-другому номер не указать Не, для поднятия самого туннеля ничего открывать не надо, и так работает. Надо открывать для пакетов внутри туннеля при настройке public. 1 Quote Link to comment Share on other sites More sharing options...
arbayten Posted August 28, 2017 Share Posted August 28, 2017 15 минут назад, r13 сказал: Надо открывать для пакетов внутри туннеля при настройке public просто было про порт в контексте eoip .. ответ был на опережение про потенциальные затыки на вышестоящих интерфейсах (если это кому-то будет полезно), ну и заодно мало ли кому-нибудь понадобится управлять acl по списку. Quote Link to comment Share on other sites More sharing options...
KorDen Posted August 28, 2017 Share Posted August 28, 2017 2 часа назад, arbayten сказал: если в web-gui нет в выпадающем списке - по аналогии с icmp Всё там есть 2 часа назад, r13 сказал: для поднятия самого туннеля ничего открывать не надо Поправка: только если он с IPsec. Если это голый туннель, вроде бы надо открывать, т.к. ISP у нас public и автоматом правил не добавляется, как для IPsec. (давно экспериментировал с голыми туннелями, не помню точно) Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 (edited) 3 минуты назад, KorDen сказал: Поправка: только если он с IPsec. Если это голый туннель, вроде бы надо открывать, т.к. ISP у нас public и автоматом правил не добавляется, как для IPsec. (давно экспериментировал с голыми туннелями, не помню точно) С голыми тоже все автоматом, у меня такой Eoip трудится без каких бы то ни было настроек в firewall Edited August 28, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 (edited) Вообщем дорвался до EoIP, удалось поднять с помощью r13. Но встал вопрос как не паругать между собой dhcp. У миктротиков есть команда /interface bridge filter add chain=forward mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop как я понял блокирует 67-68 порты. А кто как делает похожее на кинетик, к примеру с помощью iptables? Edited August 28, 2017 by utya Quote Link to comment Share on other sites More sharing options...
arbayten Posted August 28, 2017 Share Posted August 28, 2017 11 минуту назад, utya сказал: как не паругать между собой dhcp как мин. надо, чтобы диапазоны выдачи не пересекались, иначе можно поймать конфликт ip-адресов; аренду выдаст первый ответивший dhcp, если служба не тормозит, то в большинстве случаев это будет ближайший к клиенту; исходящий фильтр, например, на eoip, - как дело вкуса. Quote Link to comment Share on other sites More sharing options...
utya Posted August 28, 2017 Share Posted August 28, 2017 1 минуту назад, arbayten сказал: как мин. надо, чтобы диапазоны выдачи не пересекались, иначе можно поймать конфликт ip-адресов; аренду выдаст первый ответивший dhcp, если служба не тормозит, то в большинстве случаев это будет ближайший к клиенту; исходящий фильтр, например, на eoip, - как дело вкуса. ну а если они вообщем из разных подсетей? 192.168.234.1/24 один 192.168.235.1/24 второй Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.