Přeji hezký den, bojuji s nastavením dvou mikrotiků a snažím se mezi nimi nastavit VPN přes ipsec tunel. Jeden je na hranici jedné sítě a druhý v druhé síti za Keriem.
Řekl bych, že jsem na netu vygoglil poměrně dost informací, ale zamrzl jsem na problému, kdy mi v logu hlásí chybu při pokusu o propojení
ipsec debug: ignore because do not listen on source address: x.x.x.x
Nemůžu k tomu nic najít, tak prosím zkušené o radu. Je to můj první pokus a už se s tím morduju řadu dní. Případné další potřebné info rád doplním.
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
VPN ipsec propojeni MT->MT (v lan)
Nedávno jsem s tím taky bojoval a pomohlo mně toto: http://gregsowell.com/?p=787
Zkus mrknout, snad z toho bude něco užitečné.
Zkus mrknout, snad z toho bude něco užitečné.
0 x
Dík, odkaz znám, výborný videa jsou i zde http://mikrotikuniversity.com/index.php ... ng-videos/
Spíš mi jde o to, že druhej MT je v lokální síti až za NATem a pravděpodobně v tom bude ten problém. I přes videa tápu, jak nastavit firewall na Keriu a jak nastavit pravidla ipsecu
10.101.0.0/16 - MKT1 - 10.101.102.41 <-LAN-> 10.101.101.1(GW) - kerio - 6X.1X8.57.X18 <-INTERNET-> 8X.2X2.1X3.1X9 - MKT2 - 192.168.1.254(GW) - 192.168.1.0/24
Spíš mi jde o to, že druhej MT je v lokální síti až za NATem a pravděpodobně v tom bude ten problém. I přes videa tápu, jak nastavit firewall na Keriu a jak nastavit pravidla ipsecu
10.101.0.0/16 - MKT1 - 10.101.102.41 <-LAN-> 10.101.101.1(GW) - kerio - 6X.1X8.57.X18 <-INTERNET-> 8X.2X2.1X3.1X9 - MKT2 - 192.168.1.254(GW) - 192.168.1.0/24
0 x
Pokud provozujes MT za NATem doporucuji vytvoroti PPTP tunel na MT, ktery je na verejne IP.
IPsec nema moc rad NAT-T. Po sestaveni PPTP tunelu vytvorit bez problemu IPsec.
IPsec nema moc rad NAT-T. Po sestaveni PPTP tunelu vytvorit bez problemu IPsec.
0 x
To zip: díky za nápad, ale zjišťuji, že i tak mám problémy. Prostě začátečník.
Ačkoliv mám nastaveno, myslím vše dle návodů, stejně mi tunel nechodí a háže mi chybu.
-- CUT strabna v praci ---
06:53:15 ipsec,debug,packet resend phase1 packet 915ec2368dc84065:0000000000000000
06:53:25 ipsec,debug,packet getsockmyaddr 192.168.19.170[500]
06:53:25 ipsec,debug,packet 104 bytes from 192.168.19.170[500] to 192.168.19.169[500]
06:53:25 ipsec,debug,packet sockname 192.168.19.170[500]
06:53:25 ipsec,debug,packet send packet from 192.168.19.170[500]
06:53:25 ipsec,debug,packet send packet to 192.168.19.169[500]
06:53:25 ipsec,debug,packet src4 192.168.19.170[500]
06:53:25 ipsec,debug,packet dst4 192.168.19.169[500]
06:53:25 ipsec,debug,packet 1 times of 104 bytes message will be sent to 192.168.19.169[500]
06:53:25 ipsec,debug,packet 915ec236 8dc84065 00000000 00000000 01100200 00000000 00000068 0d000038
06:53:25 ipsec,debug,packet 00000001 00000001 0000002c 01010001 00000024 01010000 800b0001 000c0004
06:53:25 ipsec,debug,packet 00015180 80010005 80030001 80020002 80040002 00000014 afcad713 68a1f1c9
06:53:25 ipsec,debug,packet 6b8696fc 77570100
06:53:25 ipsec,debug,packet resend phase1 packet 915ec2368dc84065:0000000000000000
06:53:26 ipsec,debug phase2 negotiation failed due to time up waiting for phase1. ESP 192.168.19.169[500]->192.168.19.170[500]
06:53:26 ipsec,debug delete phase 2 handler.
--- CUT END ---
---- CUT Strana doma -----
...08:10:34 ipsec,debug,packet Compared: DB:Peer
08:10:34 ipsec,debug,packet (lifetime = 86400:86400)
08:10:34 ipsec,debug,packet (lifebyte = 0:0)
08:10:34 ipsec,debug,packet enctype = 3DES-CBC:3DES-CBC
08:10:34 ipsec,debug,packet (encklen = 0:0)
08:10:34 ipsec,debug,packet hashtype = MD5:SHA
08:10:34 ipsec,debug,packet authmethod = pre-shared key:pre-shared key
08:10:34 ipsec,debug,packet dh_group = 1024-bit MODP group:1024-bit MODP group
08:10:34 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds
08:10:34 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4
08:10:34 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=3DES-C
08:10:34 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-s
key
08:10:34 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA
08:10:34 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit
group
08:10:34 ipsec,debug rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) =
SHA
08:10:34 ipsec,debug no suitable proposal found.
08:10:34 ipsec,debug failed to get valid proposal.
---- CUT END -----
Přitom na obou stranách je IPSec Proposal nastaveno stejně.
Našla by se nějaká dobrá duše a odladila se mnou tento příklad? Pořádně se v tom plácám.
Ačkoliv mám nastaveno, myslím vše dle návodů, stejně mi tunel nechodí a háže mi chybu.
-- CUT strabna v praci ---
06:53:15 ipsec,debug,packet resend phase1 packet 915ec2368dc84065:0000000000000000
06:53:25 ipsec,debug,packet getsockmyaddr 192.168.19.170[500]
06:53:25 ipsec,debug,packet 104 bytes from 192.168.19.170[500] to 192.168.19.169[500]
06:53:25 ipsec,debug,packet sockname 192.168.19.170[500]
06:53:25 ipsec,debug,packet send packet from 192.168.19.170[500]
06:53:25 ipsec,debug,packet send packet to 192.168.19.169[500]
06:53:25 ipsec,debug,packet src4 192.168.19.170[500]
06:53:25 ipsec,debug,packet dst4 192.168.19.169[500]
06:53:25 ipsec,debug,packet 1 times of 104 bytes message will be sent to 192.168.19.169[500]
06:53:25 ipsec,debug,packet 915ec236 8dc84065 00000000 00000000 01100200 00000000 00000068 0d000038
06:53:25 ipsec,debug,packet 00000001 00000001 0000002c 01010001 00000024 01010000 800b0001 000c0004
06:53:25 ipsec,debug,packet 00015180 80010005 80030001 80020002 80040002 00000014 afcad713 68a1f1c9
06:53:25 ipsec,debug,packet 6b8696fc 77570100
06:53:25 ipsec,debug,packet resend phase1 packet 915ec2368dc84065:0000000000000000
06:53:26 ipsec,debug phase2 negotiation failed due to time up waiting for phase1. ESP 192.168.19.169[500]->192.168.19.170[500]
06:53:26 ipsec,debug delete phase 2 handler.
--- CUT END ---
---- CUT Strana doma -----
...08:10:34 ipsec,debug,packet Compared: DB:Peer
08:10:34 ipsec,debug,packet (lifetime = 86400:86400)
08:10:34 ipsec,debug,packet (lifebyte = 0:0)
08:10:34 ipsec,debug,packet enctype = 3DES-CBC:3DES-CBC
08:10:34 ipsec,debug,packet (encklen = 0:0)
08:10:34 ipsec,debug,packet hashtype = MD5:SHA
08:10:34 ipsec,debug,packet authmethod = pre-shared key:pre-shared key
08:10:34 ipsec,debug,packet dh_group = 1024-bit MODP group:1024-bit MODP group
08:10:34 ipsec,debug,packet type=Life Type, flag=0x8000, lorv=seconds
08:10:34 ipsec,debug,packet type=Life Duration, flag=0x0000, lorv=4
08:10:34 ipsec,debug,packet type=Encryption Algorithm, flag=0x8000, lorv=3DES-C
08:10:34 ipsec,debug,packet type=Authentication Method, flag=0x8000, lorv=pre-s
key
08:10:34 ipsec,debug,packet type=Hash Algorithm, flag=0x8000, lorv=SHA
08:10:34 ipsec,debug,packet type=Group Description, flag=0x8000, lorv=1024-bit
group
08:10:34 ipsec,debug rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) =
SHA
08:10:34 ipsec,debug no suitable proposal found.
08:10:34 ipsec,debug failed to get valid proposal.
---- CUT END -----
Přitom na obou stranách je IPSec Proposal nastaveno stejně.
Našla by se nějaká dobrá duše a odladila se mnou tento příklad? Pořádně se v tom plácám.
0 x
Přikládám obrázky pro lepší orientaci v nastavení. Snad tam mám zachyceno vše podstatné.
0 x
Máš blbš v IPsec peer hash algorithm, nahoře máš SHA, dole MD5. řve ti to i do logu (3. řádek od spodu). Dej oboje na SHA a najede ti to.
Pak to provoz přes ten NAT:
Zapnout NAT traversal na obou koncích. To na firmě nech send initial contact a doma to vypni. Zapni použití DPD, tak po 10 sekundách. Zapni generate policy na obojím.
Ten proposal, co tam máš stacicky, tak mu dej prioritu třeba 10 (ať ho pak přebije ten dynamický).
Firewall musí propoustit UDP/500 a UDP/4500.
Na firmě pustit periodický ping, co to bude nahazovat (pokud přímo na tom MKčku, tak mu vnutit zdrojovou IP v tom proposal segmentu a musí pinkat na něco uvnitř na druhé straně).
Pak to provoz přes ten NAT:
Zapnout NAT traversal na obou koncích. To na firmě nech send initial contact a doma to vypni. Zapni použití DPD, tak po 10 sekundách. Zapni generate policy na obojím.
Ten proposal, co tam máš stacicky, tak mu dej prioritu třeba 10 (ať ho pak přebije ten dynamický).
Firewall musí propoustit UDP/500 a UDP/4500.
Na firmě pustit periodický ping, co to bude nahazovat (pokud přímo na tom MKčku, tak mu vnutit zdrojovou IP v tom proposal segmentu a musí pinkat na něco uvnitř na druhé straně).
0 x
Díky všem za pomoc! Opravdu to naběhlo, už jsem nedoufal, že to zprovozním. Taková blbost. 
Teď můžu zkoušet variantu s NATem. Fakt moc díky.
Teď můžu zkoušet variantu s NATem. Fakt moc díky.
0 x
Majklik píše:Máš blbš v IPsec peer hash algorithm, nahoře máš SHA, dole MD5. řve ti to i do logu (3. řádek od spodu). Dej oboje na SHA a najede ti to.
Pak to provoz přes ten NAT:
Zapnout NAT traversal na obou koncích. To na firmě nech send initial contact a doma to vypni. Zapni použití DPD, tak po 10 sekundách. Zapni generate policy na obojím.
Ten proposal, co tam máš stacicky, tak mu dej prioritu třeba 10 (ať ho pak přebije ten dynamický).
Firewall musí propoustit UDP/500 a UDP/4500.
Na firmě pustit periodický ping, co to bude nahazovat (pokud přímo na tom MKčku, tak mu vnutit zdrojovou IP v tom proposal segmentu a musí pinkat na něco uvnitř na druhé straně).
ahoj mám nastaveno podle návodu, mám to na veřejných IP.
problém je v tom, že když se simuluje výpadek ne jedné straně, tak se to pak nespojí samo, musím udělat flush
/ip ip installed-sa flush sa-type=all
v čem mám chybu.
díky
0 x