UniFi Security Gateway — VPN Site to Site — Mikrotik?

Question

[M L]

Приветствую. Пытаюсь настроить VPN Site-to-Site между UniFi Security Gateway 3P и Микротиком (с прошивкой 6.44.5).
На USG вставил необходимые параметры + на всякий случай в файрволе разрешил доступ. На микротике настроил политики, proposals, добавил peer, настроил профиль . Все включил. На микротике показывает на вкладке политик PH2 State Established, в remote peers тоже показывает established и идет время . А вот во вкладке Installed SAs кьюрент байтс по нулям. Пинги не идут , доступов к сетям нет. В USG кроме файрвола собо добавлять нечего, по этому я думаю, что то надо в микротик добавить. Подскажите у кого был положительный опыт .

Comments

[Александр Карабанов]

Правило которое не позволяет трафику попасть под NAT и тем самым позволяет ему попасть под действие полисии имеется?

[M L]

Александр Карабанов, подскажите как его добавить ?

[Александр Карабанов]

Есть варианты, но этот самый простой - добавить нужный критерий в правило которое отвечает за маскарадинг:

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

[M L]

Александр Карабанов, Добавил ... не помогло (

[Александр Карабанов]

Значит что-то не так.

[M L]

Александр Карабанов, а вы подключали такие устройства ? у вас получалось ?

[Александр Карабанов]

Я настраивал IPsec и у меня получалос.

[M L]

Александр Карабанов, а пробовали USG Ubiquity с Mikrotik-ом ?

[korsar182]

На микротике маршрут на сеть Unifi добавили? Без него трафик не будет знать, как ему попасть под IPsec.

[M L]

korsar182, попробую в пн

[M L]

korsar182, сделал, но не работает. в маршруте я ведь указываю удаленную сеть в которую я хочу попасть , а шлюзом будет канал связи (интерфейс с интернетом, через которым настроен Ipsec тунель) ?

[korsar182]

M L, нет, нужен любой несуществующий маршрут, например на интерфейс бриджа Вашей локальной сети. Обычно для этих целей создают отдельный пустой бридж, но существующий тоже подойдет.

[M L]

poisons, в полиси указано Src.Adress и Dst.Adress адреса локальные источника и назначения. В Action указаны внешние адреса Src и Dst. Другое дело что с одной стороны микротик, а с другой стороны Unifi USG

[korsar182]

M L, выложите export compact конфигурации микротик.

[korsar182]

M L, правило в /ip firewall nat обязательно нужно, добавьте его либо в виде, предложенном выше(в правило общего маскарада, не дополнительным правилом!), либо отдельным правилом

add action=accept chain=srcnat dst-address=192.168.40.0/24 src-address=192.168.0.0/24

так же таки сделайте маршрут на локальный бридж, а не интерфейс провайдера(у меня работает только так)

/ip route
add comment="test ----" distance=1 dst-address=192.168.40.0/24 gateway=bridge1-lan100

После каждого изменения правил удаляйте соединения с Вашей удаленной сетью в /ip firewall connections, без этого они не будут применяться, т.к. трафик захвачен connection tracker'ом.

[M L]

korsar182,
Добавил
но чот все равно пинга нет
коннекты вроде появляются
firewall
add action=accept chain=srcnat comment="temp " dst-address=192.168.40.0/24 src-address=192.168.0.0/24
route
add comment="test " distance=1 dst-address=192.168.40.0/24 gateway=bridge1-lan100

[korsar182]

M L, мне кажется маркировка направляет пакеты не туда, куда нужно. Попробуйте отключить все правила в mangle и посмотреть, что получится. Не забудьте сбросить соединения в /ip firewall connections