Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
IPS tunel mezi dvěma mikrotiky RB750
je to proste:
http://download2.mikrotik.com/routeros-mipsbe-5.19.npk je 5.19
http://download2.mikrotik.com/routeros-mipsbe-5.16.npk
http://download2.mikrotik.com/routeros-mipsbe-5.17.npk
atd...
Nezabudnut upgradnut aj routerboot po tom co upgradnes ROS
( /system routerboard upgrade a nasledne /system reboot )
http://download2.mikrotik.com/routeros-mipsbe-5.19.npk je 5.19
http://download2.mikrotik.com/routeros-mipsbe-5.16.npk
http://download2.mikrotik.com/routeros-mipsbe-5.17.npk
atd...
Nezabudnut upgradnut aj routerboot po tom co upgradnes ROS
( /system routerboard upgrade a nasledne /system reboot )
0 x
Btw ak to nemusi byt IPSec tak za skusku by stala mozno pptp alebo ina vpnka.
Edit: otestuj si perf, ak by to davalo slabe vysledky odporucam dany setup spravit ethe2 bude uplink a ether3 bude downlink.
Edit2: pripadne mozes skusit vypnut nat traversal ...
update: bez nat traversal tunnel nedokaze ist hore pri vymazani SAciek na responderovi .. , zaroven teda v 5.19 to nevyzera na bug, resp rovnako sa sprava aj 5.16. Cely ten setup je na MK akysi problemovejsi nez na ciscu
Edit3: na RB1
mss pre tcp traffic a clear df-bitu
add action=change-mss chain=forward disabled=no dst-address=192.168.2.0/24 \
new-mss=1300 out-interface=ether1-gateway passthrough=yes protocol=tcp \
tcp-flags=syn
add action=clear-df chain=forward disabled=no dst-address=192.168.2.0/24 \
out-interface=ether1-gateway passthrough=yes protocol=tcp tcp-flags=syn
Edit: otestuj si perf, ak by to davalo slabe vysledky odporucam dany setup spravit ethe2 bude uplink a ether3 bude downlink.
Edit2: pripadne mozes skusit vypnut nat traversal ...
update: bez nat traversal tunnel nedokaze ist hore pri vymazani SAciek na responderovi .. , zaroven teda v 5.19 to nevyzera na bug, resp rovnako sa sprava aj 5.16. Cely ten setup je na MK akysi problemovejsi nez na ciscu
Edit3: na RB1
mss pre tcp traffic a clear df-bitu
add action=change-mss chain=forward disabled=no dst-address=192.168.2.0/24 \
new-mss=1300 out-interface=ether1-gateway passthrough=yes protocol=tcp \
tcp-flags=syn
add action=clear-df chain=forward disabled=no dst-address=192.168.2.0/24 \
out-interface=ether1-gateway passthrough=yes protocol=tcp tcp-flags=syn
0 x
Takže toto konfigurace kterou si mi sem hodil je funkční a tebou vyzkoušena, pokud tomu dobře rozumím, takže stačí to jen hodit do mikrotiků a updatovat ROS a vše bude funkční. Je to tak?
R1:
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=tunnel-proposal pfs-group=modp1024
/ip ipsec peer
add address=88.146.173.193/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no \
hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=password send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=no dst-address=192.168.2.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=tunnel-proposal protocol=all sa-dst-address=\
88.146.173.193 sa-src-address=10.39.9.11 src-address=192.168.1.0/24 src-port=any tunnel=yes
/ip firewall nat
add action=accept chain=srcnat disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway
RB:
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=tunnel-proposal pfs-group=modp1024
/ip ipsec peer
add address=77.242.87.189/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no \
hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=password send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=no dst-address=192.168.1.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=tunnel-proposal protocol=all sa-dst-address=77.242.87.189 \
sa-src-address=172.20.202.100 src-address=192.168.2.0/24 src-port=any tunnel=yes
/ip firewall nat
add action=accept chain=srcnat disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway
0 x
No, skusal som to v labe ale samozrejme je tam este vela moznosti kde moze byt problem .. Nezabudni si povolit ipsec vo filtri atd ..
Gl.
Gl.
0 x
Povolit IPsec ve filtru atd...? Myslel jsem že to je všechno co tam mám zadat a ono to bude fungovat
Hele a je nějaké jednoduší cesta jak udělat pomocí těchto mikrotiků VPN na dvou IP které jsou neveřejné a natované na veřejnou? Mohu tě na ty mikrotiky pustit pokud chceš, jen mi napiš na skype pheek77 nebo na jabber petr.hudecek@jabber.org nebo mail pheek@seznam.cz dám ti přístup.
Myslel jsem že to je všechno co tam mám zadat a ono to bude fungovat Hele a je nějaké jednoduší cesta jak udělat pomocí těchto mikrotiků VPN na dvou IP které jsou neveřejné a natované na veřejnou? Mohu tě na ty mikrotiky pustit pokud chceš, jen mi napiš na skype pheek77 nebo na jabber petr.hudecek@jabber.org nebo mail pheek@seznam.cz dám ti přístup.
0 x
Možná ne VPN ale tunel z jedné sítě na druhou. V současné době mám na těch místech Ubuntu dva servery, které jsem chtěl nahradit těma mikrotikama, ale dopadl jsem na hudu, nedaří se mi to zkonfigurovat tak aby to chodilo.
0 x
Zdravím, potřeboval bych poradit.
Mám tu sít s hlavní GW kde je centrálně NAT 1:1
Dále mám RB za VDSL modemem, modem v modu bridge a na RB veřejnou.
Celé to je propojené přes IPsec aby to bylo v jedné síti a funguje.
Mám ale problém s veřejnými IP adresamy pro druhou sít za modemem.
Pokud si nastavím na hlavní GW NAT pro nějakou ip adresu za tunelem tak se na ni nedostanu, ten NAT mi prostě neprochází tunelem.
V čem by mohl být problém? Musí pro to být nějaké pravidlo?
Díky za info.
Jirka
Mám tu sít s hlavní GW kde je centrálně NAT 1:1
Dále mám RB za VDSL modemem, modem v modu bridge a na RB veřejnou.
Celé to je propojené přes IPsec aby to bylo v jedné síti a funguje.
Mám ale problém s veřejnými IP adresamy pro druhou sít za modemem.
Pokud si nastavím na hlavní GW NAT pro nějakou ip adresu za tunelem tak se na ni nedostanu, ten NAT mi prostě neprochází tunelem.
V čem by mohl být problém? Musí pro to být nějaké pravidlo?
Díky za info.
Jirka
0 x
Je použit IPsec tunel a v Policies jsou použity už neveřejné IP adresy? Obávám se, že problém je v tom, že uplatnění pravidel IPsecu se provede dříve, než se vykoná ten dst-nat, takže IPsec vrstva ještě vidí veřejky, takže pakety ignoruje a až to dst-nat přeloží, tak už to IPsec nezajímá.
0 x