Mikrotik IPsec: белый IP ---- серый IP?

Question

[localsnet]

Есть 2 Микротика: один с белым IP (назовем: сервер) и второй с серым IP ( назовем: клиент, он же в роли инициатора).
Возможно ли организовать IPsec туннель между ними (не прибегая к L2TP и прочим)?
Бьюсь уже вторую неделю, пытался использовать мануал отсюда wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrio... (только вместо недоступного Ikev2, я использовал main) , но к сожалению не дало положительных результатов, логи достаточно скудные, проблему не выяснил..
В сети множество мануалов по IPsec/L2TP но практически ничтожные результаты по "чистому" IPsec.
Буду весьма благодарен, если направите в какую сторону двигаться.
UPD. Текущие параметры:
На серверной стороне:
Внешний интерфейс:1.1.1.1
LAN: 192.168.88.0/24

ip pool print 
 # NAME                                                RANGES                         
 0 dhcp                                                192.168.88.10-192.168.88.20    
 1 rw-pool                                             192.168.77.2-192.168.77.254

 ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 
 0 T * group=default src-address=0.0.0.0/0 dst-address=192.168.77.0/24 protocol=all 
       proposal=default template=yes

 ip ipsec mode-config print 
Flags: * - default 
 0 * name="request-only" send-dns=yes 

 1   name="cfg1" send-dns=yes address-pool=rw-pool address-prefix-length=32 

ip ipsec peer print 
Flags: X - disabled, D - dynamic 
 0    address=::/0 local-address=:: passive=no port=500 auth-method=rsa-signature 
      certificate=srv2n remote-certificate=none generate-policy=port-strict 
      policy-template-group=default exchange-mode=main mode-config=cfg1 
      send-initial-contact=yes nat-traversal=yes proposal-check=obey 
      hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d 
      lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 

ip ipsec proposal print 
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=192.168.99.0/24 log=yes log-prefix="vpn_nat" 

 1    ;;; default configuration
      chain=srcnat action=masquerade out-interface=ether1-gateway

На клиентской стороне:
Внешний интерфейс: серый динамический IP (от провайдера; публичный IP видимо тоже динамический) :10.200.1.1
LAN:192.168.99.0/24

ip ipsec peer print  
Flags: X - disabled, D - dynamic 

 1    address=1.1.1.1/32 local-address=:: passive=no port=500 auth-method=rsa-signature certificate=cert_export_client1.crt_0 
      remote-certificate=none generate-policy=port-strict policy-template-group=default exchange-mode=main mode-config=request-only 
      send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp1024 
      lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 

ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 
 0 TX* group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
 
ip ipsec mode-config print 
Flags: * - default 
 0 * name="request-only" send-dns=yes 

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0 XI  chain=srcnat action=accept src-address-list=10.200.1.1 dst-address-list=1.1.1.1 log=yes log-prefix="ipsec_nat" 

 1    chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

Сертификаты генерировал по выше приведенному мануалу (с единств. отличием что в параметреsubject-alt-name= указал email а не IP), потом делал экспорт на клиент.

Comments

[Клёвый Админ]

Покажите текущий конфиг и укажите примерные адреса, чтобы просто указать на ошибки, а не писать вам мануал по настройке абстрактной ситуации.

[localsnet]

Евгений Быченко: Евгений, обновил пост. Спасибо, что откликнулись.

[Клёвый Админ]

localsnet: нет, так не выйдет, провайдер вам выдал не публичный адрес. Вам нужно знать реальный ваш адрес, и знать его постоянно, т.е. менять на стороне клиента политики шифрования указывая в Src SA этот самый адрес.

Но очень похоже что дело сложное. Почему отказываетесь от l2tp?

[localsnet]

Евгений Быченко: Странно, я думал что белые адреса нужны для настройки site-2-site, а в режиме сервер-клиент достаточно одного белого адреса. И даже не будет работать если на месте клиента вместо микротика будет скажем SHrew клиент? Чувствую что, я уже хочу сделать это на l2tp, не хотел потому, что читал, что без него будет работать быстрее. Евгений, подскажите пожалуйста подходящий мануал по l2tp.

[Клёвый Админ]

localsnet: такс, для начала, с серым адресом работать будет (с адресом за НАТ), и даже с серым динамическим будет (с динамическим адресом за НАТ), но во втором случае нужно скриптом вычислять какой текущий адрес у роутера является публичным и прописывать его в политиках IPSec (и в случае ошибок в генерации политик на стороне сервера и там тоже их менять). Это довольно геморно, но возможно.

Оверхед или увеличение нагрузки при использовании l2tp минимально, при чём его можно использовать и без IPSec, там штатное шифрование очень на уровне. Так же в крайних версиях прошивки (и давольно давно) появился сервер SSTP (он более пробивной для NAT, т.к. использует HTTPS ) и клиент.

Но можно использовать и OpenVPN - по накладным расходам очень близко к IPSec, и, в отличии от второго, так же как другие протоколы сервер\клиент хорошо пробивает НАТ.

Проблема у IPSEC в том, что он изначально заточен не как протокол Сервер-Клиент. Он заточен на то, что обе стороны равноправны, это несколько затрудняет конфигурирование сторон в не симметричном сценарии (как ваш). Когда как тот же L2TP изначально спроектирован как несимметричный, и клиентская сторона хорошо понимает те настройки, что сообщает её сервер.

[Клёвый Админ]

Годный материал (только клиентская настройка отличается, но думаю вы справитесь: нужно просто с клиентской стороны создать l2tp-client и указать адрес севера и креденшалы) howitmake.ru/blog/waildhand/177.html

[localsnet]

Клёвый Админ: Извините за поздний ответ, я долго не был в сети. Опробую все ваши советы. Спасибо!

Answer 1

[Кирилл Васильев]

сделайте шаблоны полиси и не партесь,
на микротике где белый IP, ставите адрес пира 0.0.0.0/0, пассивный режим, включаете НАТ-Т, и включаете генерацию политик.
с другой стороны прописываете все необходимые политики, используя свой локальный адрес, и это политики с генерируются на серверной части

быстренько поднял лабу, завелось с пол оборота, как пример вам
Public IP

/ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 generate-policy=port-strict local-address=1.1.1.2 passive=yes policy-template-group=gre secret=12345!
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-Null src-address=192.168.254.0/24 template=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-aes128 src-address=192.168.255.0/24 template=yes

Private IP

/ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=1.1.1.2/32 local-address=10.10.10.2 policy-template-group=gre secret=12345!
/ip ipsec policy
add dst-address=192.168.254.1/32 level=unique proposal=Pr-Null sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2  src-address=192.168.254.2/32 tunnel=yes
add dst-address=192.168.255.1/32 level=unique proposal=Pr-aes128 sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2 src-address=192.168.255.2/32 tunnel=yes

Comments

[localsnet]

Извините за поздний ответ, я долго не был в сети. Опробую все ваши советы. Спасибо!

Answer 2

[CityCat4]

При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

1. При формировании политик нужно указывать серые IP.
2. Шифрование SHA256 работает только при линке двух микротиков между собой.

Пример настройки:
(микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

Cо стороны микротика с серым IP

/ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes

Cо стороны микротика с белым IP:

/ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes

Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку

Comments

[localsnet]

Извините за поздний ответ, я долго не был в сети. Опробую все ваши советы. Спасибо!