IPSec + Mikrotik, почему не работает?

Хочу настроить туннель IPSec между двумя микротиками. Делаю все по мануалу с официальной вики.

на микротиках были выполнены следующие команды

(xx.xx.xx.xx белый ip первого офиса, yy.yy.yy.yy - второго, 192.168.1.x подсеть первого офиса, 192.168.87.x - втрого)

office 1

/ip ipsec peer
add address=yy.yy.yy.yy/32 port=500 auth-method=pre-shared-key secret="/u]45ms]E>0@W<1C^&7dffaoep{h2]krrNxQG+YCwe~HT;"

/ip ipsec policy
add src-address=192.168.1.0/24 src-port=any dst-address=192.168.87.0/24 dst-port=any \
sa-src-address=xx.xx.xx.xx sa-dst-address=yy.yy.yy.yy \
tunnel=yes action=encrypt proposal=default

/ip firewall nat
add chain=srcnat action=accept place-before=0 \
src-address=192.168.1.0/24 dst-address=192.168.87.0/24

office 2

/ip ipsec peer
add address=xx.xx.xx.xx/32 port=500 auth-method=pre-shared-key secret="/u]45ms]E>0@W<1C^&7dffaoep{h2]krrNxQG+YCwe~HT;"

/ip ipsec policy
add src-address=192.168.87.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any \
sa-src-address=yy.yy.yy.yy sa-dst-address=xx.xx.xx.xx \
tunnel=yes action=encrypt proposal=default

/ip firewall nat
add chain=srcnat action=accept place-before=0 \
src-address=192.168.87.0/24 dst-address=192.168.1.0/24

После проделанных манипуляций ничего не происходит, в installed sa пусто, подсети не пингуются (из одного офиса в другом). Версия ROS 6.30.2 (на обоих микротиках). Все уже перерыл, никак не могу понять, может кто подскажет?
  • Вопрос задан
  • 8074 просмотра
Решения вопроса 2
Вообще в Mikrotik ipsec лучше использовать в виде транспорта. А туннель организовать к примеру с помощью протокола GRE.
Ответ написан
Largo1
@Largo1
Айтишник далёкого плана
xx.xx.xx.xx белый ip первого офиса, yy.yy.yy.yy - второго, 192.168.1.x подсеть первого офиса, 192.168.87.x - второго
первый офис - ведущий маршрутизатор, второй - ведомый
транспортная подсеть - 192.168.222.x

***ТРАНСПОРТ***

на первом маршрутизаторе:

/interface pptp-server server set enabled=yes

создаём на этом сервере профиль и аккаунт:

/ppp profile add name=RemoteOffice only-one=yes use-compression=yes use-encryption=yes use-vj-compression=yes comment="Profile for RemoteOffice"

/ppp secret add name=RemoteOfficeLogin password=RemoteOfficePassword local-address=192.168.222.100 remote-address=192.168.222.200 service=pptp profile=RemoteOffice comment="PPTP for RemoteOffice"

для клиента хорошо бы создать "собственный PPTP сервер":

/interface pptp-server add name=RemoteOffice user=RemoteOfficeLogin comment="PPTP Server for RemoteOffice"

на файерволе первого маршрутизатора открываем нужные порты:

/ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500 comment="Allow for PPTP Server"

на мосту включаем proxy-arp:

/interface bridge set 0 arp=proxy-arp

на втором маршрутизаторе добавляем новый интерфейс для подключения к нашему первому маршрутизатору:

/interface pptp-client add name=RemoteOffice connect-to=xx.xx.xx.xx user=RemoteOfficeLogin password=RemoteOfficePassword allow=mschap2 disabled=no comment="PPTP to MainOffice"

всё, линк есть

***IPSEC***

на первом маршрутизаторе

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.87.0/24 out-interface=RemoteOffice action=masquerade comment="Nat for RemoteOffice"

/ip ipsec proposal add name=prop_2 auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024

/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.87.0/24 action=encrypt tunnel=yes sa-src-address=192.168.222.100 sa-dst-address=192.168.222.200 proposal=prop_2 level=require comment="Policy for RemoteOffice"

/ip ipsec peer add auth-method=pre-shared-key policy-template-group=default exchange-mode=aggressive send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 generate-policy=port-override lifetime=1d dpd-interval=120 dpd-maximum-failures=5 address=192.168.222.200 port=500 secret="dJt2wkSvD582" comment="Peer for RemoteOffice"

на втором маршрутизаторе

/ip firewall nat add chain=srcnat src-address=192.168.87.0/24 dst-address=192.168.1.0/24 out-interface=RemoteOffice action=masquerade

/ip ipsec proposal add name=prop_2 auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024

/ip ipsec policy add src-address=192.168.87.0/24 dst-address=192.168.1.0/24 action=encrypt tunnel=yes sa-src-address=192.168.222.200 sa-dst-address=192.168.222.100 proposal=prop_2 level=require

/ip ipsec peer add auth-method=pre-shared-key policy-template-group=default exchange-mode=aggressive send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 generate-policy=port-override lifetime=1d dpd-interval=120 dpd-maximum-failures=5 address=192.168.222.100 port=500 secret="dJt2wkSvD582" comment="Peer for MainOffice"

всё, траффик зашифрован
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
Порты открыты у вас? На вкладке IPSec - Remote Peers есть движения? Провайдер ничего не блокирует, адреса точно белые?
Ответ написан
@genana40 Автор вопроса
Владислав и Антон! Спасибо! Ваши варианты оба работают, но я остановился на варианте с GRE туннелем.

И еще маленький вопрос, я так понимаю в случае серого айпи с одной строны, вариант Антона должен сработать?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы