Задать вопрос

Mikrotik IPsec: белый IP ---- серый IP?

Есть 2 Микротика: один с белым IP (назовем: сервер) и второй с серым IP ( назовем: клиент, он же в роли инициатора).
Возможно ли организовать IPsec туннель между ними (не прибегая к L2TP и прочим)?
Бьюсь уже вторую неделю, пытался использовать мануал отсюда wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrio... (только вместо недоступного Ikev2, я использовал main) , но к сожалению не дало положительных результатов, логи достаточно скудные, проблему не выяснил..
В сети множество мануалов по IPsec/L2TP но практически ничтожные результаты по "чистому" IPsec.
Буду весьма благодарен, если направите в какую сторону двигаться.
UPD. Текущие параметры:
На серверной стороне:
Внешний интерфейс:1.1.1.1
LAN: 192.168.88.0/24

ip pool print 
 # NAME                                                RANGES                         
 0 dhcp                                                192.168.88.10-192.168.88.20    
 1 rw-pool                                             192.168.77.2-192.168.77.254

 ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 
 0 T * group=default src-address=0.0.0.0/0 dst-address=192.168.77.0/24 protocol=all 
       proposal=default template=yes

 ip ipsec mode-config print 
Flags: * - default 
 0 * name="request-only" send-dns=yes 

 1   name="cfg1" send-dns=yes address-pool=rw-pool address-prefix-length=32 

ip ipsec peer print 
Flags: X - disabled, D - dynamic 
 0    address=::/0 local-address=:: passive=no port=500 auth-method=rsa-signature 
      certificate=srv2n remote-certificate=none generate-policy=port-strict 
      policy-template-group=default exchange-mode=main mode-config=cfg1 
      send-initial-contact=yes nat-traversal=yes proposal-check=obey 
      hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d 
      lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 

ip ipsec proposal print 
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=192.168.99.0/24 log=yes log-prefix="vpn_nat" 

 1    ;;; default configuration
      chain=srcnat action=masquerade out-interface=ether1-gateway


На клиентской стороне:
Внешний интерфейс: серый динамический IP (от провайдера; публичный IP видимо тоже динамический) :10.200.1.1
LAN:192.168.99.0/24
ip ipsec peer print  
Flags: X - disabled, D - dynamic 

 1    address=1.1.1.1/32 local-address=:: passive=no port=500 auth-method=rsa-signature certificate=cert_export_client1.crt_0 
      remote-certificate=none generate-policy=port-strict policy-template-group=default exchange-mode=main mode-config=request-only 
      send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 
      lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 

ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 
 0 TX* group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
 
ip ipsec mode-config print 
Flags: * - default 
 0 * name="request-only" send-dns=yes 

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0 XI  chain=srcnat action=accept src-address-list=10.200.1.1 dst-address-list=1.1.1.1 log=yes log-prefix="ipsec_nat" 

 1    chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""


Сертификаты генерировал по выше приведенному мануалу (с единств. отличием что в параметреsubject-alt-name= указал email а не IP), потом делал экспорт на клиент.
  • Вопрос задан
  • 15010 просмотров
Подписаться 4 Оценить 7 комментариев
Пригласить эксперта
Ответы на вопрос 2
vasilevkirill
@vasilevkirill
Сертифицированный тренер MikroTik TR0417
сделайте шаблоны полиси и не партесь,
на микротике где белый IP, ставите адрес пира 0.0.0.0/0, пассивный режим, включаете НАТ-Т, и включаете генерацию политик.
с другой стороны прописываете все необходимые политики, используя свой локальный адрес, и это политики с генерируются на серверной части

быстренько поднял лабу, завелось с пол оборота, как пример вам
Public IP
/ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 generate-policy=port-strict local-address=1.1.1.2 passive=yes policy-template-group=gre secret=12345!
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-Null src-address=192.168.254.0/24 template=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-aes128 src-address=192.168.255.0/24 template=yes


Private IP
/ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=1.1.1.2/32 local-address=10.10.10.2 policy-template-group=gre secret=12345!
/ip ipsec policy
add dst-address=192.168.254.1/32 level=unique proposal=Pr-Null sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2  src-address=192.168.254.2/32 tunnel=yes
add dst-address=192.168.255.1/32 level=unique proposal=Pr-aes128 sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2 src-address=192.168.255.2/32 tunnel=yes
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

1. При формировании политик нужно указывать серые IP.
2. Шифрование SHA256 работает только при линке двух микротиков между собой.

Пример настройки:
(микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

Cо стороны микротика с серым IP
/ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes


Cо стороны микротика с белым IP:
/ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes


Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы