Здравствуйте. Уже третий день ломаю голову и не могу найти в чем именно проблема.
Описание задачи: Есть 2 офиса в каждом офисе установлен Mikrotik RB951G-2HnD. Для выхода в интернет в разъем ether1 включена витая пора и на этом интерфейсе поднимается PPPoE соединения для авторизации на стороне провайдера. Этому интерфейсу присваивается постоянный белый ip адрес. Порты 2-5 объединены в бридж и к этим портам подключаются компьютеры локальной сети.
Офис 1:
Public IP: pppoe-out - ip 85.12.xx.yy
Local IP: 192.168.1.0/24
Адрес Mikrotik: 192.168.1.1
Офис 2:
Public IP: pppoe-out - ip 83.95.xx.yy
Local IP: 192.168.2.0/24
Адрес Mikrotik: 192.168.2.1
Задача объединить эти 2 локальные сети через интернет с помощью L2TP/IPSec Tunnel чтобы весь трафик проходящий через туннель шифровался:
Что я сделал:
Офис 1 принимаем за серверную строну.
1. Настраиваем в Офисе 1 L2TP Server:
- Создаем пользователя:[admin@Office1] > ppp secret add name=Office2 service=l2tp password=123
local-address=10.0.16.9 remote-address=10.0.16.10
[admin@Office1] /ppp secret> print detail
Flags: X - disabled
0 name="Office2" service=l2tp caller-id="" password=
local-address=10.0.16.9 remote-address=10.0.16.10
limit-bytes-out=0 last-logged-out=jan/01/1970 00:0
Создаем L2TP интерфейс для созданного пользователя
[admin@Office1] > interface l2tp-server add disabled=no name=l2tp-Office2
user=Office2
- Включаем L2TP/IpSec[admin@Office1] > interface l2tp-server server set authentication=pap,chap,
mschap1,mschap2 default-profile=default-encryption enabled=yes
max-mru=1460 max-mtu=1460 use-ipsec=yes
[admin@Office1] > interface l2tp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: pap,chap,mschap1,mschap2
keepalive-timeout: 15
default-profile: default-encryption
use-ipsec: yes
ipsec-secret: 123456789
- Создаем ipsec proposal:[admin@Office1] > ip ipsec proposal set default auth-algorithms=sha1
disabled=no enc-algorithms=3des lifetime=30m name=default
pfs-group=modp1024
[admin@Office1] > ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=3des
lifetime=30m pfs-group=modp1024
[admin@Office1] >
- Создаем ipsec policy:
[admin@Office1] > ip ipsec policy add action=encrypt disabled=no
dst-address=192.168.2.0/24 ipsec-protocols=esp level=require priority=0
proposal=default protocol=udp sa-dst-address=10.0.16.10
sa-src-address=10.0.16.9 src-address=192.168.1.0/24 tunnel=yes
[admin@Office1] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 TX* group=*3 src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=all proposal=default template=yes
1 src-address=192.168.1.0/24 src-port=any dst-address=192.168.2.0/24 dst-port=any protocol=udp
action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=10.0.16.9
sa-dst-address=10.0.16.10 proposal=default priority=0
- Создаем ipsec peer:[admin@Office1] > ip ipsec peer add address=10.0.16.10 auth-method=pre-shared-key
dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1
enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=sha1
lifebytes=0 lifetime=1d nat-traversal=no proposal-check=obey secret=test
send-initial-contact=yes
[admin@Office1] > ip ipsec peer print
Flags: X - disabled, D - dynamic
0 D address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 auth-method=pre-shared-key
secret="123456789" generate-policy=port-strict policy-group=*2 exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1
enc-algorithm=3des,aes-128,aes-192,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m
dpd-maximum-failures=5
1 address=10.0.16.10/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key
secret="test" generate-policy=no policy-group=*2 exchange-mode=main send-initial-contact=yes
nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024
lifetime=1d lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1
- Добавим маршрут в Офис 2[admin@Office1] > ip route add comment=Office2 disabled=no distance=1
dst-address=192.168.2.0/24 gateway=10 .0.16.10 scope=30 target-scope=10
С настройкой первого Mikrotik закончено, переходим к второму, который будем клиентом L2TP:
- Создаем l2tp-интерфейс для соединения с сервером[admin@Office2] > interface l2tp-client add add-default-route=no allow=pap,chap,
mschap1,mschap2 connect-to=85.12.xx.yy dial-on-demand=no disabled=no
max-mru=1460 max-mtu=1460 name=l2tp-Office1 password=123 user=Office2
После выполнения этой команды поднимается L2TP туннель.
- Создаем ipsec proposal (настройки точно такие какие мы делали на сервер):[admin@Office2] > ip ipsec proposal set default auth-algorithms=sha1
disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024
[admin@Office2] > ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m
pfs-group=modp1024
- Создаем ipsec policy:[admin@Office2] > ip ipsec policy add action=encrypt disabled=no
dst-address=192.168.1.0/24 ipsec-protocols=esp level=require priority=0
proposal=default protocol=udp sa-dst-address=10.0.16.9
sa-src-address=10.0.16.10 src-address=192.168.2.0/24 tunnel=yes
[admin@Office2] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 TX* group=default src-address=85.172.xx.yy/32 dst-address=83.239.xx.yy/32
protocol=udp proposal=default template=yes
1 src-address=192.168.2.0/24 src-port=any dst-address=192.168.1.0/24
dst-port=any protocol=udp action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=10.0.16.10
sa-dst-address=10.0.16.9 proposal=default priority=0
- Создаем ipsec peer:
[admin@Office2] > ip ipsec peer add address=10.0.16.9/32 auth-method=pre-shared-key
dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1
enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=sha1
lifebytes=0 lifetime=1d nat-traversal=no proposal-check=obey secret=test
send-initial-contact=yes
[admin@Office2] > ip ipsec peer print
Flags: X - disabled, D - dynamic
0 address=10.0.16.9/32 local-address=0.0.0.0 passive=no port=500
auth-method=pre-shared-key secret="test" generate-policy=no
policy-group=default exchange-mode=main send-initial-contact=yes
nat-traversal=no proposal-check=obey hash-algorithm=sha1
enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
dpd-interval=disable-dpd dpd-maximum-failures=1
- Добавим маршрут в Офис 1[admin@Office2] > ip route add disabled=no distance=1 dst-address=192.168.1.0/24
gateway=10.0.16.9 scope=30 target-scope=10
После всех этих настроек в /ip ipsec remote-peers отображаются соедения
[admin@Office1] > ip ipsec remote-peers print
0 local-address=10.0.16.9 remote-address=10.0.16.10 state=established
side=initiator established=4m22s
Вот казалась бы и вся не сложная настройка и после этого в /ip ipsec installed-sa должны появиться записи, но они никак не появляются. Из одной сети в другую данные передаются прекрасно, но у меня есть подозрение что канал получился не шифрованный, так как нет записей в /ip ipsec installed-sa и при работе процессор вообще не загружается. Пытаясь разобраться с проблемой добавил на каждом из Mikrotik правило для фаервола:
/ip firewall filter
add chain=input protocol=udp port=1701,500,4500
add chain=input protocol=ipsec-esp
Версии Mikrotik 6.19.
Уже все что-только можно перепробовал, все инструкции прочитал какие-только смог найти, но все равно никак не получается настроить работать. ;( Прошу подсказать, что еще я упустил при настройке и что необходимо поправить. За ранее большое спасибо за советы.
Средний
