classic.ISPforum.cz

Mám takový specifický dotaz, jelikož jsem nový v užívání RB, rád bych se zeptal, zda se tu najde někdo kdo konfiguroval připojení na privátní APN k T-Mobilu?
Jedná se o klasický IPSec tunel typu gateway to gateway. Nyní se k APN připojujeme přes produkt od 3Com, který sice funguje tak jak má, ale přišel čas ho nahradit za něco novějšího.
Problém je v tom, že když RB (RB751U) nastavím dle 3Com (s využitím Wiki na mikrotik.com), zkrátka se nepřipojí. V RB je spousta dalšího nastavení, které by asi celkové spojení mohlo ovlivnit, ale ať si s tím hraju jak chci, jsem stále na bodu mrazu.
Má tu někdo zkušenosti s IPSec tunelem na T-Mobile APN a nebo celkově s IPSec? Na straně T-Mobilu by mělo být nějaké Cisco, čili když to shrnu, potřebuju propojit IPSecem Mikrotik s Ciscem.

Ano,
mám to takto rozjeté. Sice mi chvíli trvalo než jsem to uchodil, ale teď je to OK.

A myslis, ze bys mi mohl postnout konfiguraci? Samozrejme se zmenenyma IP a bez sdilenyho klice.

Ale jo, mohl, ale stejně je potřeba v ostatních částech posupovat podle wiki.

Můj případ:
LAN: 192.168.12.0/24 WAN: 82.99.x.x
APN: 172.31.0.0/24 T-Mobile WAN: 62.141.x.x

Super! Diky moc, vecer to zkusim a dam vedet, ted nemuzu odpojit firmu

Po zkušenostech vřele doporučuji zkoušet ten IPSec na "čistém" routeboardu. Člověk si s tím ušetří docela dost času při hledání problému. A to hlavně v NAT, kdy se mě to překládalo na jinou WAN IP než očekával T-Mobile...

Čistý myslíš úplně čistý, nebo na přednastaveným z výroby? Ale počítám, že asi ta první varianta...

Ot: a umi prosim RB i http tunel? Resp. existuje nejaky addon?
duvod: Treba czo2 ma analyzu trafficu a na nektere sluzby jako ipsec i https uplatnuje FUP/32 kbit, na http pak FUP/200 kbit... A to uz by se mi libilo vic...

ok2slc píše:Po zkušenostech vřele doporučuji zkoušet ten IPSec na "čistém" routeboardu. Člověk si s tím ušetří docela dost času při hledání problému. A to hlavně v NAT, kdy se mě to překládalo na jinou WAN IP než očekával T-Mobile...

Tak to ted ladim a bohuzel se mi ten IPSec ani nespoji, v Installed SA nevidim jedinou IP. Na co si mam dat jeste pozor?

Je potřeba si zapnout logování IPSec a podívat do logu. Jinak čistou konfigurací jsem myslel RB na kterém je konfigurace pouze zakladní konfigurace potřebná pro IPSec, tj. privátní veřejnou ip a nat. Máte více veřejných ip? Máte u v APN zřízenu nějakou virtuální ip (není přiřazena žádné SIM) pro testování tunelu? jakou máte verzi RoS?

Mám v RB nastavený jen přípojení do internetu a ten IPSec, máme pouze jednu IP. JJ, mám jednu IP, která je určena jen pro otestování tunelu. Verzi ROS mám 6.2

Pro jistotu se zeptám, zda to zkoušíte z firemní public ip na kterou je ten IPSec u T-Mobile povolen? A co čas RB, je synchronizovaný přes ntp? Jinak dejte výpis logu.

JJ, z firemní public IP, proto to musím ladit vždy až ve večerních hodinách. Musí být kvůli IPSecu nějaký extra pravidla ve firewallu? Čas synchronizovaný nemám, zase večer to budu ladit, případně dám log.

Ve firewallu na MKčku je třeba mít v input povolen UDP port 500 (IKE protokol) a následně i protokol č. 50 (ipsec-esp) pro to, aby šel IPsec tunel ustanovit (a pak musí být pro forward dovoleno to, co má procházet do/z tunelu).
Nepoužíváme TM, takže můžu jen hádat, ale nejčastější problém v navazováí IPsec spojení proti Ciscu bývá, jak je stanoven proposals (musím v souladu s protistrnaou) a jak je nastaven proposal check v peers. Často se narazí na to, že na Ciscu je třeba nastaveno, že daný IPsec klíč má omezenou platnost jen pro zašifrování třeba 100 MB dat a pak se musí měnit. Tohle v RB nejde nastavit, jde jen nastavit omezení na časovou platnost. Takže je třeba si nastavit proposal check tak, že se přizpůsobím návrhu protistrany, pak se to chytne i s tím nastaveným lifebytes na Cisco straně (/ip ipsec peer X set proposal-check=claim případně ještě volnější obey).

Tak jsem to právě zkoušel přesně podle všech informací v tomto vlákně (nastavený NTP, FW i s tim proposal checkem a nic. Zítra zavolám do T-M, jsem již bezradný.