@localsnet

Mikrotik IPsec: белый IP ---- серый IP?

Есть 2 Микротика: один с белым IP (назовем: сервер) и второй с серым IP ( назовем: клиент, он же в роли инициатора).
Возможно ли организовать IPsec туннель между ними (не прибегая к L2TP и прочим)?
Бьюсь уже вторую неделю, пытался использовать мануал отсюда wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrio... (только вместо недоступного Ikev2, я использовал main) , но к сожалению не дало положительных результатов, логи достаточно скудные, проблему не выяснил..
В сети множество мануалов по IPsec/L2TP но практически ничтожные результаты по "чистому" IPsec.
Буду весьма благодарен, если направите в какую сторону двигаться.
UPD. Текущие параметры:
На серверной стороне:
Внешний интерфейс:1.1.1.1
LAN: 192.168.88.0/24

ip pool print 
 # NAME                                                RANGES                         
 0 dhcp                                                192.168.88.10-192.168.88.20    
 1 rw-pool                                             192.168.77.2-192.168.77.254

 ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 
 0 T * group=default src-address=0.0.0.0/0 dst-address=192.168.77.0/24 protocol=all 
       proposal=default template=yes

 ip ipsec mode-config print 
Flags: * - default 
 0 * name="request-only" send-dns=yes 

 1   name="cfg1" send-dns=yes address-pool=rw-pool address-prefix-length=32 

ip ipsec peer print 
Flags: X - disabled, D - dynamic 
 0    address=::/0 local-address=:: passive=no port=500 auth-method=rsa-signature 
      certificate=srv2n remote-certificate=none generate-policy=port-strict 
      policy-template-group=default exchange-mode=main mode-config=cfg1 
      send-initial-contact=yes nat-traversal=yes proposal-check=obey 
      hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d 
      lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 

ip ipsec proposal print 
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=192.168.99.0/24 log=yes log-prefix="vpn_nat" 

 1    ;;; default configuration
      chain=srcnat action=masquerade out-interface=ether1-gateway


На клиентской стороне:
Внешний интерфейс: серый динамический IP (от провайдера; публичный IP видимо тоже динамический) :10.200.1.1
LAN:192.168.99.0/24
ip ipsec peer print  
Flags: X - disabled, D - dynamic 

 1    address=1.1.1.1/32 local-address=:: passive=no port=500 auth-method=rsa-signature certificate=cert_export_client1.crt_0 
      remote-certificate=none generate-policy=port-strict policy-template-group=default exchange-mode=main mode-config=request-only 
      send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 
      lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 

ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 
 0 TX* group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
 
ip ipsec mode-config print 
Flags: * - default 
 0 * name="request-only" send-dns=yes 

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0 XI  chain=srcnat action=accept src-address-list=10.200.1.1 dst-address-list=1.1.1.1 log=yes log-prefix="ipsec_nat" 

 1    chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""


Сертификаты генерировал по выше приведенному мануалу (с единств. отличием что в параметреsubject-alt-name= указал email а не IP), потом делал экспорт на клиент.
  • Вопрос задан
  • 12087 просмотров
Пригласить эксперта
Ответы на вопрос 2
vasilevkirill
@vasilevkirill
Сертифицированный тренер MikroTik TR0417
сделайте шаблоны полиси и не партесь,
на микротике где белый IP, ставите адрес пира 0.0.0.0/0, пассивный режим, включаете НАТ-Т, и включаете генерацию политик.
с другой стороны прописываете все необходимые политики, используя свой локальный адрес, и это политики с генерируются на серверной части

быстренько поднял лабу, завелось с пол оборота, как пример вам
Public IP
/ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 generate-policy=port-strict local-address=1.1.1.2 passive=yes policy-template-group=gre secret=12345!
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-Null src-address=192.168.254.0/24 template=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-aes128 src-address=192.168.255.0/24 template=yes


Private IP
/ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=1.1.1.2/32 local-address=10.10.10.2 policy-template-group=gre secret=12345!
/ip ipsec policy
add dst-address=192.168.254.1/32 level=unique proposal=Pr-Null sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2  src-address=192.168.254.2/32 tunnel=yes
add dst-address=192.168.255.1/32 level=unique proposal=Pr-aes128 sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2 src-address=192.168.255.2/32 tunnel=yes
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

1. При формировании политик нужно указывать серые IP.
2. Шифрование SHA256 работает только при линке двух микротиков между собой.

Пример настройки:
(микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

Cо стороны микротика с серым IP
/ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes


Cо стороны микротика с белым IP:
/ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes


Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы