Задать вопрос
DANic
@DANic
Интроверт

Почему не доступна подcеть через IPsec туннель между linux и MikroTik?

Добрый день,

Задача которую пытаюсь решить, сделать доступной подсеть в облаке (10.21.21.0/24) для устройств подключенных к роутеру Mikrotik в офисе (192.168.1.0/24).

В наличии

Роутер Mikrotik с последней прошивкой 6.37.3
Public IP: 1.1.1.1
Office IP: 192.168.1.1

CentOS 7 c openswan
Public IP: 2.2.2.2
Cloud IP: 10.21.21.6

cat /etc/ipsec.conf
config setup
       	plutodebug=all
     	plutostderrlog=/var/log/pluto.log
        nat_traversal=yes
	protostack=netkey
	keep_alive=60
	oe=off
conn mikrotik
        	type=tunnel
        	disablearrivalcheck=no
        	authby=secret
        	esp=aes-sha1
        	ike=3des-md5-modp1024
        	ikelifetime=1h
        	salifetime=1h
        	keyexchange=ike
        	pfs=no
        	forceencaps=yes
        	auto=start
        	left=2.2.2.2
        	leftsourceip=10.21.21.6
        	leftsubnet=10.21.21.0/24
                right=1.1.1.1
      	        rightsubnet=192.168.1.0/24


На роутере
/ip ipsec peer add address=2.2.2.2 enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 lifetime=1h secret=MYSECRETPASSWORD
/ip firewall nat add chain=srcnat dst-address=10.21.21.0/24 src-address=192.168.1.0/24  place-before=0


ipsec auto status

000 Connection list:
000
000 "mikrotik": 10.21.21.0/24===2.2.2.2<2.2.2.2>...1.1.1.1<1.1.1.1>===192.168.1.0/24; erouted; eroute owner: #149
000 "mikrotik":     oriented; my_ip=10.21.21.6; their_ip=unset
000 "mikrotik":   xauth info: us:none, them:none,  my_xauthuser=[any]; their_xauthuser=[any]
000 "mikrotik":   modecfg info: us:none, them:none, modecfg policy:push, dns1:unset, dns2:unset, domain:unset, banner:unset;
000 "mikrotik":   labeled_ipsec:no;
000 "mikrotik":   policy_label:unset;
000 "mikrotik":   ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0;
000 "mikrotik":   retransmit-interval: 500ms; retransmit-timeout: 60s;
000 "mikrotik":   sha2_truncbug:no; initial_contact:no; cisco_unity:no; send_vendorid:no;
000 "mikrotik":   policy: PSK+ENCRYPT+TUNNEL+UP+IKEV1_ALLOW+IKEV2_ALLOW+SAREF_TRACK+IKE_FRAG_ALLOW;
000 "mikrotik":   conn_prio: 24,24; interface: ens18; metric: 0; mtu: unset; sa_prio:auto; nflog-group: unset;
000 "mikrotik":   dpd: action:hold; delay:0; timeout:0; nat-t: force_encaps:yes; nat_keepalive:yes; ikev1_natt:both
000 "mikrotik":   newest ISAKMP SA: #150; newest IPsec SA: #149;
000 "mikrotik":   IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)_000-MODP1024(2)
000 "mikrotik":   IKE algorithms found:  3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)
000 "mikrotik":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024
000 "mikrotik":   ESP algorithms wanted: AES(12)_000-SHA1(2)_000
000 "mikrotik":   ESP algorithms loaded: AES(12)_000-SHA1(2)_000
000 "mikrotik":   ESP algorithm newest: AES_128-HMAC_SHA1; pfsgroup=<N/A>
000
000 Total IPsec connections: loaded 1, active 1
000
000 State Information: DDoS cookies not required, Accepting new IKE connections
000 IKE SAs: total(1), half-open(0), open(0), authenticated(1), anonymous(0)
000 IPsec SAs: total(1), authenticated(1), anonymous(0)
000
000 #150: "mikrotik":4500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2469s; newest ISAKMP; lastdpd=21s(seq in:0 out:0); idle; import:not set
000 #149: "mikrotik":4500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 983s; newest IPSEC; eroute owner; isakmp#148; idle; import:admin initiate
000 #149: "mikrotik" esp.1009125@1.1.1.1 esp.c4dfefa4@2.2.2.2 tun.0@1.1.1.1 tun.0@2.2.2.2 ref=0 refhim=4294901761 Traffic: ESPout=618B ESPin=1KB! ESPmax=4194303B
000
000 Bare Shunt list:


После установки соеденения через пару минут, появляется пинг из 192.168.1.0/24 до 10.21.21.0/24, но кроме ping ничего не работает, ни SSH ни WEB

При подключении linux - linux с тем же конфигом для openswan все работает.

В чем может быть проблема?
  • Вопрос задан
  • 2753 просмотра
Подписаться 4 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
Создайте политику для IPSec на микротике руками. В остальном не вижу проблем, вроде бы всё ок.
Со стороны микротика никакие правила файрвола не мешают?
Ответ написан
@cancelf
firewall на микротике пропускает трафик с удаленной стороны? Делал подобный конфиг, помню что нормально не работал туннель, пока не отключил ip-ip setting-allow fast path.
Ответ написан
Комментировать
@garriad
Network Engeneer
Добавь правило accept ipsec трафика ДО основного правила НАТа, либо исключи из НАТИРОВАНИЯ ipsec,
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы