Как настроить 2х Mikrotik ipsec в разных филиалах?

Question

[Hardyn]

Имеется пара mikrotik не удается настроить ipseс
wiki.mikrotik.com/wiki/Manual:IP/IPsec
используя мануал не выходит возможно из-за того что 1 из микротик находится за роутером в 2 филиале
хотя на том роутере даже при отключении правил и включии нат ничего не проиходит
скиньте примерный конфиг.

не может быть проблема в провайдере в частности Yota белый ip? модем со stick прошивкой
уже неделю борюсь причем 1 из модемов перепрошитый из комплекта от партнеров yota пингуется второй нет

отредактировано________
пораскинув мозгами
прошиваем в стик прошивку наш модем E3272S_Update_21.491.05.00.00_M1_01
пингуется
с етой гемор конечно, нужно создать l2tp соединение занижать mtu пакеты до 1300
настроить правильно шифрование
подключилось не с первого раза
текущие ошибки которые были постоянно сыпался в дисконект
удалил правила фильтрации
в текущий момент не видит локалку
т.е между роутерами коннект налажен но, передаются только в один конец от сервера к филиалу
.
думаю проблема в маршрутах сейчас буду разбираться-
-----------
отредактировано
Всем снова привет, в общем ничего не получалось с l2tp ipsec конектится не видит локалку филиала
решил опробывать ovpn- конект появился сразу но, НО! не работает маршрутизация, такая же проблема, что и с l2tp
только и пинги не идут, адрес филиала получил из пула сервера, Куда дальше лезть

Answer 1

[CityCat4]

На самом деле дока по IPSec у микротика довольно бестолковая - например того, что хэш SHA256 не работает ни с чем кроме другого микротика, там не отражено.
Подьем туннелей на IPSec - имеется в виду "чистный" IPSec, а не L2TP/IPSec - их обычно путают состоит из нескольких этапов.
1. Создание "предложения" на каждом микротике - это такой корявый перевод термина proposal. В proposal указываются методы шифрования, хэши и группы Диффи-Хеллмана, которые могу применяться при согласовании параметров. Крайне важно, чтобы оба микротика нашли хотя бы один общий алгоритм шифрования и хэш, и чтобы группы Диффи-Хеллмана совпадали! Здесь же указывается время жизни второй фазы, после чего будет повторный "быстрый" обмен ключами.
2. Создание политики на каждом микротике, которая определяет, что собственно говоря будет шифроваться и что с этим шифрованным контентом делать. Здесь указываются виртуальные маршрутизируемые подсетки, адреса реальных концов туннеля, метод шифрования, используемый proposal
3. Создание удаленного подключения (peer), которое задает многое множество параметров. Здесь указывается IP и порт удаленной стороны, метод аутентификации, метод первичного обмена ключами - базовый или агрессивный, необходимость NAT Travesal (если один из микротиков за натом), проверку proposal, алгоритмы хэша и шифрования, группы Диффи-Хеллмана, время жизни первой фазы, необходимость DPD. Если аутентификация по сертификатам - указывают имена сертификатов, которые должны быть к этому времени уже импортированы. Если аутентификация по ключам - указывают значение ключа.

Если устройство само не инициирует установление туннеля, ставится флаг пассивности, иначе сразу после создания Peer-а, микротик начинает к нему долбиться. Если что-то не так - включите логирование. В микротике используется racoon, поэтому лог там ракуновский, strongswan-а нет, поддержки IKEv2 нет.

Answer 2

[Клёвый Админ]

Вы хотите слишком много телепатии.

Покажите ваши конфиги, поправить их будет куда проще. Если у вас есть в схеме NAT включите соотв опцию nat-traversal=yes, а из вашей статьи ориентируйтесь на часть под названием "Ipsec/L2TP behind NAT" там всё очень просто.

*Если роутер провайдерский, он может блокировать туннели или ipsec. Такое редко, но случается.