В чем может быть проблема с проходом траффика по IPsec через Mikrotik за NAT?

Question

[F0cus54nsk]

Привет всем,

Я пытаюсь настроить туннель от моего Mikrotik дома (за NAT-маршрутизатором PfSense1) и другого PfSense2
Сеть выглядит следующим образом:

Public home ip: 194.226.171.2
NAT ip Mikrotik: 192.168.144.135
Public ip server: 193.232.45.243

10.0.1.0/24(LAN)--Mikrotik--192.168.144.0/24---PfSense1 (194.226.171.2) ----- internet ----- PfSense2 (193.232.45.243) --- LAN (192.168.1.0/24)

Как я понял Phase2 прошла у меня успешно и на PfSense 2 и на самом микроте связность есть. Запись SA присутствует в микроте. PfSense2 пишет что, что удаленный клиент --- 194.226.171.2 NAT-T. Т.е по факту все должно ходить. Осталось понять почему не получается гонять траффик между ними.

Answer 1

[leitop2k]

1) А где затыкается трасса?
2) Все ли маршруты корректны?

Comments

[F0cus54nsk]

Вот что по трассам и маршрутом у меня настроено.




Где-то явно чего-то не хватает, но я пока не могу понять куда прописать.

Answer 2

[CityCat4]

Политики IPSec настроены? В них правильно указаны подсети, публичные адреса IP-шлюзов?
IKE и ESP не фильтруются?

Comments

[F0cus54nsk]

Политики IPSec настроены? В них правильно указаны подсети, публичные адреса IP-шлюзов?
IKE и ESP не фильтруются?

Вроде делал по инструкциям, ранее настраивал PfSense и Микрот с белыми IPшниками все работало. Сейчас не понимаю почему нет.
Вот пару скринов.



И вот что показывает PfSense

[CityCat4]

F0cus54nsk, Вы мне не то показываете. Политики, а не пиры.
Вот например (скрины вставлять не буду, лениво):

/ip ipsec policy
add comment="To main VPN" dst-address=10.54.100.0/24 proposal=proposal1 sa-dst-address=\
    х.х.х.х sa-src-address=y.y.y.y src-address=10.54.200.0/24 tunnel=yes
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256
add auth-algorithms="" enc-algorithms=aes-256-gcm lifetime=1h name=proposal1
/ip ipsec peer
add address=x.x.x.x/32 auth-method=rsa-signature certificate=\
    "SHA256 IPSec cert with key" comment="To main VPN" dpd-interval=\
    disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=2h nat-traversal=no \
    proposal-check=strict remote-certificate="SHA256-1 IPSec cert"

[F0cus54nsk]

CityCat4, вот такие

[CityCat4]

F0cus54nsk, Счетчики по нулям - значит до правила трафик не доходит, где-то пропадает. ESP не фильтруется? Контрольную сумму никто не портит? Тут такой момент - если используется NAT, то он должен изменить IP src, но пакет уже посчитан и его контрольная сумма записана! И изменение IP src его ломает нафиг. Такое вот правило есть?

/ip firewall nat
add chain=srcnat comment="Does not touch IPSec ESP packets to avoid break packets checksum" \
    ipsec-policy=out,ipsec out-interface=ether6

(out-interface понятное дело свой - это интерфейс тырнета). Смысл этого правила каков - если в пакете присутствует IPSec - его не трогать, в нем уже нормальный IP.

[F0cus54nsk]

CityCat4, по ESP не должно ничего фильтроваться на PfSense не закрывалось ничего. Ранее по такой же схеме настраивал с белым IP микротика все работало, есть конечно риск что граничный Pfsense1, в который включен микротик что-то режет, но тогда бы наверно вообще бы не устанавливалcя IPsec. Правило добавил.

[CityCat4]

F0cus54nsk,

есть конечно риск что граничный Pfsense1, в который включен микротик что-то режет, но тогда бы наверно вообще бы не устанавливалcя IPsec

А вот и нифигашечки. Установление соединения - это протокол IKE, работающий по порту 500 (4500 для NAT-T). А собственно соединение - это протокол ESP, никак с IKE не связанный. Поэтому IKE может работать, а вот самого соединения не быть.
Правило это должно идти первым! По крайней мере ДО маскарада - в этом его смысл - исключить пакеты IPSec из маскарадинга - он не нужен.

[F0cus54nsk]

CityCat4, спорить не буду в этом мои знания около нуля. Вот что на PfSense2 рисует.

Поставил на первое место правило, пока картинка не поменялась =( И как посмотреть на контрольную сумму?

[CityCat4]

F0cus54nsk, То же самое надо сделать на pfsense. Смысл - не трогать пакет ESP, который уже готов для отправки - в нем ничего менять нельзя.
На контрольную сумму напрямую можно глянуть только на линухе - там есть команды посмотреть счетчики ошибок. Как на микротике - не знаю.

[F0cus54nsk]

Все перелопатил, не помогло =(

[CityCat4]

F0cus54nsk, А заменить с одной стороны что-нибудь на что-нибудь другое можно? микротик на линух, микротик на pfsense (или наоборот), pfsense на линух?

[F0cus54nsk]

CityCat4, Пока проблему решил простым путем, выдав Микротику белый IP. Мне кажется где-то разгадка рядом. Попробую потом чуть позже кое-что сделать. Отпишусь по мере результатов.

[CityCat4]

F0cus54nsk, Да запросто. Я помню, как бился, пытаясь спарить микротик и линух, пока совершенно случайно не подумал хэш поменять...