IPS tunel mezi dvěma mikrotiky RB750

[pheek]

Dobrý den, chtěl bych vás poprosit o radu, návod, postup. Chtěl bych mezi dvěma mikrotiky vytvořit IPSec tunel, ale nedaří se mi. Prošel jsem tuny návodů ale ani s jedním jsem nedosáhl kýženého výsledku. Nemohl by mi prosím někdo poradit, popřípadě udělat step by step návod jak tunel nastavit? Problém je v tom že oba používají neveřejnou IP na kterou je routovaná veřejná. Návod nemusí být klikací, může být klidně terminálový. Předem děkuji za rady.

stav zapojení sítě:

Kód: Vybrat vše

RB1: current IP 10.0.1.100
IP: 10.39.9.11 (public IP 77.242.87.189)
MASK: 255.255.0.0
GW: 10.39.9.1
DNS: 82.114.192.15 82.114.192.6
internal network is 192.168.1.1/24

RB2: current IP 10.0.1.200
IP: 172.20.202.100 (public IP 88.146.173.193))
MASK: 255.255.255.0
GW: 172.20.202.1
DNS: 62.240.190.4 62.240.190.34 62.240.190.35
internal network is 192.168.2.1/24

[pheek]

Jo a prosím neberte v potaz
RB1: current IP 10.0.1.100
RB2: current IP 10.0.1.200
ty IP tam jsou navíc a jsou to současné IP na kterých mi doma běží

[lukas-svk]

To mas prenatovanu verejnu IP 1:1 ?

ESP + Tunel/Transport, pripadne aj AH + NAT-T, konfig by nemusel byt problem len to je na dlhsie vysvetlvoat co, ako, preco.

Dalsi tip, bud si klasicky urci iba zaujimovy traffic cez policy alebo si mozes medzi MK vytvorit GRE tunel a vsetok GRE traffic ipsecovat

gl.

[pheek]

děkuji za reakci veřejná je 1:1 na neveřejnou. Nemohl bych tě poprosit zda by jsi mi se nemohl hodit konfig step by step jak to nakonfigurovat když bude mikrotik čistý bez jakékoliv konfigurace.

[lukas-svk]

Skus toto
http://mikrotikuniversity.com/index.php ... rotik-vpn/

ak to podla toho nedas, tak daj vediet skusil by som zostrojit nejaky template.

Btw bacha, 750tky su na to dost slbe pri SHA1/3DES to dava max 5/5Mbit a aj to v specifickom zapojeni, inak to ide este horsie - ba az katastrofalne.

[pheek]

Nepodařilo se mi to, podle tohoto jsem to už taky zkoušel nastavit. Nemohl bych tě prosím poprosit o nastavení jednoho i druhého , tak abych to tam nahodil a ono to fungovalo, dle nastavení sítě co jsem uváděl nahoře? Prosím o nastavení celého mikrotiku od jednotlivých interfaců, pro jistotu že jsem někde neudělal něco špatně. Děkuji ti moc. Jseš hodněj že se mi věnuješ.

[lukas-svk]

tak teda aspon napis ake verzie ROS tam mas nasadene, ja odporucam cim novsiu. Obdobne riesenie som staval na 5.16.

L.

[pheek]

tak verze RouterOS v5.11 a děkuji pěkně za návod. Jsem opravdu beznadějnej případ.

[lukas-svk]

No sice sa to blbo riesi takto bez nicoho, lepsi by bol pristup k boxom, hlavne kvoli tomu natu 1:1 ci to nebude robit problem .. ale tak skusime..

RB1: current IP 10.0.1.100
IP: 10.39.9.11 (public IP 77.242.87.189)
MASK: 255.255.0.0
GW: 10.39.9.1
DNS: 82.114.192.15 82.114.192.6
internal network is 192.168.1.1/24

RB2: current IP 10.0.1.200
IP: 172.20.202.100 (public IP 88.146.173.193))
MASK: 255.255.255.0
GW: 172.20.202.1
DNS: 62.240.190.4 62.240.190.34 62.240.190.35
internal network is 192.168.2.1/24

Skusime ten setup s GRE tunelmi, dva spojenie MK budu mat ptp subnet napr 172.16.1.0/30

RB1:

/interface gre
add disabled=no dscp=0 l2mtu=65535 local-address=77.242.87.189 mtu=1410 name=\
gre-tunnel0 remote-address=88.146.173.193

/ip address
add address=172.16.1.1/30 comment=Tunnel disabled=no interface=gre-tunnel0 \
network=172.16.1.0

RB2:

/interface gre
add disabled=no dscp=0 l2mtu=65535 local-address=88.146.173.193 mtu=1410 name=\
gre-tunnel0 remote-address=77.242.87.189

/ip address
add address=172.16.1.2/30 comment=Tunnel disabled=no interface=gre-tunnel0 \
network=172.16.1.0


Nahodit a skusit ping na protistranu z oboch MK .... ping 172.16.1.1 resp 172.16.1.2

Ak ok, pridas routy...

RB1:
/ip route
add disabled=no dst-address=192.168.2.0/24 gateway=172.16.1.2

RB2:
/ip route
add disabled=no dst-address=192.168.1.0/24 gateway=172.16.1.1


Teraz by mala byt dosiahnutelna siet na druhom MK cez GRE tunel.

No a ked ti toto pojde tak sa ohlas , som zvedavy ci nebude problem so src ip GRE pri tom nate. Ked ti toto pojde, pripisem nieco dalsie. ( doriesime samotny ipsec )

[pheek]

Děkuji vyzkouším. Takže vyrestartuji mikrotiky do defaultu a zadám tyto příkazy. Nahodí mi to veškeré interface které bude potřeba. A ten default tuším že je to 192.168.88.1 s obou smažu.

[lukas-svk]

naco default? ved ti tie dva boxy uz bezia, nie? To tam proste pridaj alebo ak to je nekriticke a nemas problem s tym ze na to bude mat pristup niekto iny, kludne to mozem spojazdnit.

[pheek]

hele problém je ten že to mám doma na routeru a není to na těch IP na kterých to má běžet. Takže potřebuji udělat konfiguraci tak abych to jen přenesl a ono to fungovalo, klidně ti teď k tomu přístup udělám, mám tam rozchozenej IPSec tunel, který se mi povedl rozchodit, ale pokud to přenesu na místo, přenastavím IP tak mi to nechodí. Klidně se mi ozvi na skype můžeme se domluvit. Díky Petr. Skype je pheek77

[lukas-svk]

Tak skusmo som vyskusal v labe nejaky setup.. ten gre setup, v transport mode je kvoli natu problem. Ten GRE navyse ktory je vyssie ma v poste zle src ip adresy ..

Setup ktory funguje je esp + tunnel..

R1:

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=tunnel-proposal pfs-group=modp1024
/ip ipsec peer
add address=88.146.173.193/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no \
hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=password send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=no dst-address=192.168.2.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=tunnel-proposal protocol=all sa-dst-address=\
88.146.173.193 sa-src-address=10.39.9.11 src-address=192.168.1.0/24 src-port=any tunnel=yes

/ip firewall nat
add action=accept chain=srcnat disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway


RB:

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=tunnel-proposal pfs-group=modp1024
/ip ipsec peer
add address=77.242.87.189/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no \
hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=password send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=no dst-address=192.168.1.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=tunnel-proposal protocol=all sa-dst-address=77.242.87.189 \
sa-src-address=172.20.202.100 src-address=192.168.2.0/24 src-port=any tunnel=yes

/ip firewall nat
add action=accept chain=srcnat disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway

Treba si este vyriesit MTU ..
Btw skusal som dany setup aj na 5.19, tam to reaguje hodne zle zmazanie SAciek na niektorom z routrov znamena nedosiahnutelny druhy koniec .. proste bug.
Na 5.16 to ide OK, preto odporucam upgrade.

Dufam ze ti to bude fungovat OK.

L.

[pheek]

Děkuji moc za postup a info co a jak. V současné době tam mám 5.11 a podle toho co píšete je potřeba upgradovat na 5.16. Našel jsem jen 5.19 o kterém píšete že je špatný a že ten má bug v podobě smazání SAček. Nemohl bych ještě poprosit o link na stáhnutí toho požadovaného FW pro RB 750? Děkuji moc.

[DRAKK]

Zaznelo to na konferenci na Jezerce: http://www.routeros.co.id/