Почему нет ipsec-esp трафика?

Question

Born2com_fixtf2 @Born2com_fixtf2

VPN
MikroTik

Почему нет ipsec-esp трафика?

Я поднял ikev2/ipsec сервер на микротике и создал импут правило, разрешающее ipsec-esp с wan интерфейса, но, почему-то, кол-во пакетов, разрешённых этим правилом, на нуле. И это при том, что vpn исправно работает. Если что, я не жалуюсь, мне просто интересно, в чём может быть причина?

Вопрос задан 3 часа назад
48 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 1

11 комментариев

Born2com_fixtf2 @Born2com_fixtf2 Автор вопроса

0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 ;;; defconf: accept established, related and untracked
chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""

2 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""

3 ;;; defconf: accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1 log=no log-prefix=""

4 ;;; accept ICMP after RAW
chain=input action=accept protocol=icmp log=no log-prefix=""
это всё, что выше.

Написано 3 часа назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Born2com_fixtf2, если выключить 1 правило, счётчик идёт?

После разрешения ipsec-esp ниже есть drop all?

Написано 3 часа назад
Born2com_fixtf2 @Born2com_fixtf2 Автор вопроса

Юрий MikroTik, после выключения 1-го правила счётчик не то что не идёт, весь интернет пропадает.

Да, в самом конце импута есть дроп всего, кроме лана и ipsec адресов.

Написано 3 часа назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Born2com_fixtf2, тогда ipsec-esp сделать выше 1 правила

Если не будет считать, сделать правило udp 500, 4500
Проверить на нем

Ибо IPsec это не только ipsec-esp, но и udp порты

Написано 3 часа назад
Born2com_fixtf2 @Born2com_fixtf2 Автор вопроса

Юрий MikroTik, правило для udp 500 и 4500 есть, прямо под этим. Интересно, каким образом шифрование ipsec работает, если счётчик ipsec-esp на нуле?

Написано 3 часа назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Born2com_fixtf2, udp 500, 4500 счётчик работает?

Кто является клиентом?

Написано 3 часа назад
Born2com_fixtf2 @Born2com_fixtf2 Автор вопроса

Юрий MikroTik, Да, работает. Клиенты, смартфон самсунг и 11 винда, оба исправно подключаются.

Написано 3 часа назад
MVV @mvv-rus

Интересно, каким образом шифрование ipsec работает, если счётчик ipsec-esp на нуле?

Born2com_fixtf2, через IPSec NAT Traversal
Если у вас уодключающийся узел внтури сидит с серым IP за за NAT, то работать по IPSec напрямую он не может: пакеты IPSec через NAT не ходят. А чтобы можно было работать по IPSec с серым IP, их заворачивают в udp/4500, который через NAT ходить может.

Написано 2 часа назад
Born2com_fixtf2 @Born2com_fixtf2 Автор вопроса

MVV, под подключающимся узлом вы имеете ввиду клиента?

Написано 2 часа назад
MVV @mvv-rus

Born2com_fixtf2, в вашем случае - да.

Написано 2 часа назад
Born2com_fixtf2 @Born2com_fixtf2 Автор вопроса

MVV, пон. В этом случае ведь проводится проверка целостности пакета и аутентификация отправителя?

Написано 2 часа назад