Настройка IPsec для NDMS

[vadimbn]

8 часов назад, Mixin сказал:

Пытаюсь настроить IPsec между Mikrotik hEX S и Keenetic Ultra II.

А как настраивали-то? Чистый туннель IPsec, или что-то over IPsec?

[Mixin]

12 часа назад, vadimbn сказал:

А как настраивали-то? Чистый туннель IPsec, или что-то over IPsec?

Чистый IPsec, вот здесь.

[vadimbn]

10 часов назад, Mixin сказал:

Чистый IPsec

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... И наверное вам будет таки проще настроить ipip over ipsec.

Edited June 4, 2018 by vadimbn

[Mixin]

10 часов назад, vadimbn сказал:

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... 

Спасибо, попробую. А кинетику такое не надо? 

10 часов назад, vadimbn сказал:

И наверное вам будет таки проще настроить ipip over ipsec.

Планирую eoip создать в итоге, но пока не понимаю, как его создать со своими настройками безопасности и через уже созданный ipsec. 

[vadimbn]

1 час назад, Mixin сказал:

А кинетику такое не надо?

Если нужна сеть за кинетиком, и если там при создании туннеля есть трансляция адресов - да. Для чего - у вас в политиках указаны конкретные сети, которые должны быть доступны с обеих сторон. А маскарадинг подменяет, маскирует внутреннюю сеть IP-адресом роутера. Поэтому сеть будет недоступна.

 

1 час назад, Mixin сказал:

Планирую eoip создать в итоге, но пока не понимаю, как его создать со своими настройками безопасности и через уже созданный ipsec.

IPsec-соединение там устанавливается автоматически. Например -

На стороне микротика:

/interface ipip add allow-fast-path=no comment="IPIP tunnel" ipsec-secret=secret_key keepalive=10s,3 local-address=1_Local_White_IP name=Name_of_interface remote-address=2_Remote_White_IP
/ip address add address=172.16.1.2/30 comment="Address for Name_of_interface interface" interface=Name_of_interface network=172.16.1.0

На стороне кинетика как-то так:

(config)> interface IPIP0
(config-if)> tunnel destination 1_Remote_White_IP
(config-if)> ip address 172.16.1.1 255.255.255.252
(config-if)> ipsec preshared-key secret_key
(config-if)> up
(config-if)> exit
(config)> no isolate-private

secret_key должен быть и там, и там одинаковый. После этого у вас должен создаться ipip-туннель over ipsec. Появятся два интерфейса. На стороне mikrotik - Name_of_interface (может быть произвольным), на стороне Keenetic - IPIP0.

Дальше можно прописать маршруты на обоих устройствах в удаленные сети через эти интерфейсы.

Edited June 4, 2018 by vadimbn

[Mixin]

1 час назад, vadimbn сказал:

IPsec-соединение там устанавливается автоматически. Например -

Проблем с созданием тоннелей и соединений нет. Проблема в том, что к приведенным примерам прилагаются свои настройки безопасности, которые еще и нельзя поменять. Ну, или я не понимаю как.

И, видимо, мне нужна помощь в создании правил для nat и файерволла у кинетика. Вот как прописать подобное?

ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward
ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward
ip firewall nat add src-address=192.168.4.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat
 

Edited June 4, 2018 by Mixin

[vadimbn]

1 час назад, Mixin сказал:

прилагаются свои настройки безопасности

Что вы имеете в виду? То, что в Proposals?

[Mixin]

30 минут назад, vadimbn сказал:

Что вы имеете в виду? То, что в Proposals?

У кинетика то, что скрывается под командой (config-if)> security-level private

У микротика - да.

[feoser]

Натолкнулся на такую багу.

При создании IPsec-подключения, если сразу выбрать чекбокс Ждать подключения удаленного пира, то невозможно выбрать Идентификатор удаленного шлюза ничего кроме ANY, но если в начали выбрать чекбокс  Автоподключение и затем опять чекбокс Ждать подключения удаленного пира, а чекбокс  Автоподключение снять, то в выборе Идентификатор удаленного шлюза становятся доступны все варианты.

[Le ecureuil]

2 часа назад, feoser сказал:

Натолкнулся на такую багу.

При создании IPsec-подключения, если сразу выбрать чекбокс Ждать подключения удаленного пира, то невозможно выбрать Идентификатор удаленного шлюза ничего кроме ANY, но если в начали выбрать чекбокс  Автоподключение и затем опять чекбокс Ждать подключения удаленного пира, а чекбокс  Автоподключение снять, то в выборе Идентификатор удаленного шлюза становятся доступны все варианты.

Это не бага, это "фича" устаревшего IKEv1.

В нем вы должны использовать ключ еще до того, как выясните идентификатор удаленной стороны. Потому нужно ставить any.

Или используйте IKEv2.

 

А насчет того, что не возвращается в заблокированный "any": @eralde, нужно бы подправить

[feoser]

6 часов назад, Le ecureuil сказал:

Это не бага, это "фича" устаревшего IKEv1.

В нем вы должны использовать ключ еще до того, как выясните идентификатор удаленной стороны. Потому нужно ставить any.

Или используйте IKEv2.

Если Вы посмотрите скриншоты, то выбрано как раз IKEv2, про IKEv1 и any я в курсе.

[Mixin]

09[IKE] CHILD_SA Temp{2} established with SPIs and TS 192.168.4.0/24[ipv6-crypt] === 192.168.1.0/24[ipv6-crypt]

Подскажите, а почему тут приписано ipv6? Может поэтому и не работает ничего у меня. Серая надпись connected что означает?

 

 

 

Edited June 6, 2018 by Mixin

[Le ecureuil]

12 часа назад, Mixin сказал:

09[IKE] CHILD_SA Temp{2} established with SPIs and TS 192.168.4.0/24[ipv6-crypt] === 192.168.1.0/24[ipv6-crypt]

Подскажите, а почему тут приписано ipv6? Может поэтому и не работает ничего у меня. Серая надпись connected что означает?

 

 

 

Настраивали через Web? Скиньте self-test в момент, когда "Connected".

[Mixin]

13 часа назад, Le ecureuil сказал:

астраивали через Web? Скиньте self-test в момент, когда "Connected".

Увидел поздно, сил уже нет. 4 разных устройства, всё настроилось, всё друг друга увидели. Серое оно, да и бог с ним. 

[Chervonenko_CA]

Привет!

Имеется новая Гига за динамическим ip (настроен no-ip) и Омни II за серым ip, на Омни живёт DLNA-сервер.

Сети успешно объединены с помощью IPSecVpn, хосты взаимно пингуются.

Вопрос: могут ли девайсы из сети Гиги получить доступ к DLNA Омни?

По Smb диск подключённый к Омни виден (адрес \\192.168.&&.@@ набирал от руки), но МуМедиа девайсы Smb не знают

[r13]

2 минуты назад, Chervonenko_CA сказал:

Привет!

Имеется новая Гига за динамическим ip (настроен no-ip) и Омни II за серым ip, на Омни живёт DLNA-сервер.

Сети успешно объединены с помощью IPSecVpn, хосты взаимно пингуются.

Вопрос: могут ли девайсы из сети Гиги получить доступ к DLNA Омни?

По Smb диск подключённый к Омни виден (адрес \\192.168.&&.@@ набирал от руки), но МуМедиа девайсы Smb не знают

А при чем тут IPSec?  

Создайте отдельную тему.

Edited July 3, 2018 by r13

[Chervonenko_CA]

Ну, предполагаю, что поверх IPSec надо поднять что-то вроде ip-ip или EoIp..

Не?

[Le ecureuil]

11 минуту назад, Chervonenko_CA сказал:

Ну, предполагаю, что поверх IPSec надо поднять что-то вроде ip-ip или EoIp..

Не?

Для DLNA только EoIP или OpenVPN в TAP.

А вообще это глупость. DLNA это чисто домашний протокол "последней мили". Он разрабатывался с расчетом на локальные широковещательные сети  с низкими задержками, высокими скоростями и отличной надежностью передачи - и из-за этого он не может быть качественно передан в произвольное место. Потому и использовать его в таком виде не рекомендуется - будет много торомозов, потерь и рассыпаний.

[Chervonenko_CA]

5 часов назад, Le ecureuil сказал:

DLNA это чисто домашний протокол "последней мили". Он разрабатывался с расчетом на локальные широковещательные сети  с низкими задержками, высокими ско

Увы.. Что-то такое и предполагал. Разве что из спортивного интереса с EoIP поиграть

Спасибо

[feoser]

При попытке создать второй туннель в сторону IP на который уже один туннель поднят вылазит ошибка (см скриншот), может кто подскажет, как это можно обойти.

З.Ы. Сейчас попробовал вместо IP ввести доменнное имя, соответствующее этому IP, туннель прекрасно поднялся и работает, но ещё один тунель не дает создать уже не по IP не по доменному имени, т.е. фактически всё работает, тогда не понятен программный запрет - на один внешний ip - один туннель.

Edited July 13, 2018 by feoser

[Le ecureuil]

18 часов назад, feoser сказал:

При попытке создать второй туннель в сторону IP на который уже один туннель поднят вылазит ошибка (см скриншот), может кто подскажет, как это можно обойти.

З.Ы. Сейчас попробовал вместо IP ввести доменнное имя, соответствующее этому IP, туннель прекрасно поднялся и работает, но ещё один тунель не дает создать уже не по IP не по доменному имени, т.е. фактически всё работает, тогда не понятен программный запрет - на один внешний ip - один туннель.

Выберете IKEv2.

[feoser]

30 минут назад, Le ecureuil сказал:

Выберете IKEv2.

Туннели устанавливаются в сторону kerio, а он к сожалению может поддерживать только IKEv1, несколько туннелей надо, т.к.  за kerio находятся несколько подсетей которые невозможно объединить одной маской, а на кинетике в настройках туннеля невозможно указать несколько удаленных сетей одновременно, чтобы он трафик маршрутизировал в нужном направлении, но я поборол эту ситуацию, создал несколько доменов третьего уровня и т.к. они имеют один и тот же IP то кинетик на это не ругается и по крайней мере три туннеля с него, а больше мне не нужно, прекрасно работают в сторону одного IP.

Просто вопрос, а нельзя ли снять это ограничение для IKEv1, просто непонятно, чем это вызвано.

PS c IKEv2 тоже не позволяет, возможно потому, что первый на IKEv1, провести эксперимент смогу только в понедельник, т.к. при смене первого туннеля на IKEv2 я гарантированно потеряю связь,  а этот туннель с удалённой точки.

 

Edited July 14, 2018 by feoser
добавил скриншот

[feoser]

Взял для тестов голую ультру, После создания первого туннеля с IKEv2, при попытке создать второй туннель IKEv2 с одним и тем же IP назначения - результат прежний, не дает создать с одним и тем же IP, далее создал два туннеля IKEv1 но с разными IP, затем сохранил конфиг, в конфиге поменял IP чтобы они совпадали, загрузил в роутер с перезагрузкой, после ребута оба туннеля нормально поднялись.

У меня вопрос:

если в конфиге в блоке

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

дописать ещё одну строку, чтобы получить следующий вид:

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

    permit ip 192.168.51.0 255.255.255.0 192.168.14.0 255.255.255.0

это сработает? роутер не проглючит? и отработают ли эти два маршрута для одного туннеля?

-----------------------

Отвечу сам себе Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется.

После замены на рабочем роутере в конфиге трех доменных имен на один и тот же IP все туннели прекрасно поднялись и маршрутизируются.

 

Ещё вопрос, а нельзя ли для данного туннеля сделать NAT как и для других?

Это скриншот сделан при тестах.

Edited July 16, 2018 by feoser
Добавил результат испытаний.

[alekssmak]

Подскажите, можно ли включать/выключать туннель по расписанию?

[Le ecureuil]

В 15.07.2018 в 16:07, feoser сказал:

Взял для тестов голую ультру, После создания первого туннеля с IKEv2, при попытке создать второй туннель IKEv2 с одним и тем же IP назначения - результат прежний, не дает создать с одним и тем же IP, далее создал два туннеля IKEv1 но с разными IP, затем сохранил конфиг, в конфиге поменял IP чтобы они совпадали, загрузил в роутер с перезагрузкой, после ребута оба туннеля нормально поднялись.

У меня вопрос:

если в конфиге в блоке

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

дописать ещё одну строку, чтобы получить следующий вид:

access-list _WEBADMIN_IPSEC_kkerio1
    permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0

    permit ip 192.168.51.0 255.255.255.0 192.168.14.0 255.255.255.0

это сработает? роутер не проглючит? и отработают ли эти два маршрута для одного туннеля?

-----------------------

Отвечу сам себе Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется.

После замены на рабочем роутере в конфиге трех доменных имен на один и тот же IP все туннели прекрасно поднялись и маршрутизируются.

 

Ещё вопрос, а нельзя ли для данного туннеля сделать NAT как и для других?

Это скриншот сделан при тестах.

Все верно, работает только первый.

Если нужен NAT, попробуйте использовать GRE или IPIP over IPsec.

[Le ecureuil]

В 16.07.2018 в 19:57, alekssmak сказал:

Подскажите, можно ли включать/выключать туннель по расписанию?

Пока нельзя (хотя, если как интерфейс over IPsec сделаете, то можно). А нужно?

[alekssmak]

12 часа назад, Le ecureuil сказал:

Пока нельзя (хотя, если как интерфейс over IPsec сделаете, то можно). А нужно? 

Хотелось бы.

Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными.

Обрыва нет, но связь полностью отсутствует.

Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Помогает выключение/включение туннеля IPSEC.

У меня это еще с 2017 года тянется: отсюда

Edited July 24, 2018 by alekssmak

[Le ecureuil]

3 часа назад, alekssmak сказал:

Хотелось бы.

Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными.

 Обрыва нет, но связь полностью отсутствует.

 Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Помогает выключение/включение туннеля IPSEC.

У меня это еще с 2017 года тянется: отсюда

А можете в "замерзшем" состоянии self-test прикрепить?

[alekssmak]

26 минут назад, Le ecureuil сказал:

А можете в "замерзшем" состоянии self-test прикрепить?

Да, конечно. Как зависнет - сделаю.

[feoser]

4 часа назад, alekssmak сказал:

Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Просто для сведения, у меня следующая конфигурация:

Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,

с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.