Nefungujicí PPTP

[Frederick_F2]

Routy nastaveny a přesto se nedokážu pro-pingnout na druhý PC.

[Majklik]

A ten tunel meyi těma RBčky je opravdu na IPsec nebo PPTP? V předchozím příspěvku se píše o IPsec, ale vlákno začíná o PPTP.
Z konaceláře pingnu na bránu doma.. Pingneš jakou IP adresu? Tu na WAN straně nebo tu na LAN (takže něco jako 192.168...). Dle čeho soudíš, že asi IPsec tunel funguje? Poku dIPsec tunel funguje, co vypisujou příkazy:
/ip ipsec remote-peers print
/ip ipsec installed-sa print detail

[Frederick_F2]

A ten tunel meyi těma RBčky je opravdu na IPsec nebo PPTP? V předchozím příspěvku se píše o IPsec, ale vlákno začíná o PPTP.
Z konaceláře pingnu na bránu doma.. Pingneš jakou IP adresu? Tu na WAN straně nebo tu na LAN (takže něco jako 192.168...). Dle čeho soudíš, že asi IPsec tunel funguje? Poku dIPsec tunel funguje, co vypisujou příkazy:
/ip ipsec remote-peers print
/ip ipsec installed-sa print detail

Tunel je IPsec, nechtěl jsem zakládat nový topic. V kanceláři mám síť 192.168.2.0, doma mám síť 192.168.3.0 a pokuď z 192.168.2.0 pingnu na 192.168.3.1 tak to projde, opačně taky. Ještě dodávám že tento pokus simuluju doma, takže brána kterou jdu do internetu je 192.168.1.254.

ip ipsec remote-peers print
0 local-address=192.168.1.184 remote-address=192.168.1.178 state=established
side=responder established=3h9m11s

ip ipsec installed-sa print detail
Flags: A - AH, E - ESP, P - pfs
0 E spi=0x842AE4F src-address=192.168.1.184 dst-address=192.168.1.178
auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature
auth-key="09008697560cfca04e88787e7204d1502fcdb763"
enc-key="cec4513b16ffd9179f7979d1ddfc8556b42a03cdf70fb496"
addtime=jan/02/1970 05:02:48 add-lifetime=24m/30m
usetime=jan/02/1970 05:02:48 use-lifetime=0s/0s current-bytes=78710
lifebytes=0/0

1 E spi=0xDC5FEA3 src-address=192.168.1.178 dst-address=192.168.1.184
auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature
auth-key="01976673459178f1955d9a8a3acf8e4a6849c7f2"
enc-key="8c5f522f0351dfa156a76d24c6575d37a2a240f22f711130"
addtime=jan/02/1970 05:02:48 add-lifetime=24m/30m
usetime=jan/02/1970 05:02:48 use-lifetime=0s/0s current-bytes=1482616
lifebytes=0/0

[Majklik]

To vypadá dobře a správně.
Ty routy, co radil kolega, ty můžeš klidně smazat, jejich funkci plní bezpečnostní politika, která má před routami přednost. Spíše se úmyslně nastaví routa pro vnitřní protistranu na nějaký interní nesmysl, aby v případě, že se IPsec vrstva nespustí nebo omylem smažeš SPD, ať interní komunikace se netlačí do WAN linky nezabezpečena (zatím nedělej, až ti bude vše ostantí fungovat).
Jak máš nastaveno politiky? Tam by mohla být teoreticky bota. Copak je v:
/ip ipsec policy print

Jinak častý problém pak bývá firewall. Oblíbená bota je, že odchozí spojení do protější vnitřní sítě NATuješ. Musíš šáhnout do NATu a dát pravidlo, že odchozí data mířící do protější sítě se nenatují. Protože jak ti to NATne, tak pokud nemáš opravdu dobře nastavený politiky, tak to do IPsecu nepadne. Pokud to chceš mít komplexně, tak správně potřebuješ SPD pravidla, která pokryjí spojení mezi:
192.168.2.0/24-192.168.3.0/24
192.168.2.0/24-192.168.1.178
192.168.1.184-192.168.3.0/24
192.168.1.184-192.168.1.178