Jump to content
  • 0

Проблем с IPSec тунел - no phase2.


netuno
 Share

Question

Привет. Имам един работещ IPSec, но затруднения с друг.
Имам IPSec тунел...IP-тата са примерни, разбира се.
В Peers имам..

Цитат

local peer 10.20.10.20
remote peer 150.100.100.105


В policies Имам

Цитат

192.168.10.10/22 към 150.100.100.100/16
encrypt requre 


Имам правило в IP-NAT

Цитат

accept srcnat 150.100.100.100.16

В IP-Filter rules

Цитат

accept forward 150.100.100.100/16 to 192.168.10.10/22
accept forward 192.168.10.10/22 to 150.100.100.100/16



Тунелът ми казва established, но no phase2. SA-та няма, не започва шифрирано предаване.
В този случай не мога да разбера 2 неща...
1.Директно ли ми минава трафика през WAN-а и отива там некриптиран или имам тунел между 10.20.10.20 и 150.100.100.105, но е некритиран?
2. Защо ми казва established, но no phase2. От другата страна устройството е Cisco.

Да разбирам, че си правя IP-NAT и IP-Filter rules, IPSec трябва да го прихване по зададените критерии, да установи тунел, да го шифрира.
Ако тунел няма ще го предаде ли директно открито или ще го дискартне?

Link to comment
Share on other sites

11 answers to this question

Recommended Posts

  • 0
  • Administrator

Има ли причина да не ползваш L2TP,

който е по малко ресурсоемък има по добри параметри на пренос и по нисък лаг?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Най-вероятно имате разминаване в параметрите на втора фаза, за жалост това с микротика не може да се види.

Вижте го от страната на cisco-то, той може да върне информация.

Link to comment
Share on other sites

  • 0

Добре, ако не стига до Фаза2, не би ли трябвало никакъв трафик да не върви между двете, които се хващат от IPSec policy-то?
В този вариант като няма Фаза2 установява ли се някаква връзка на Фаза1, има ли въобще тунел и как имат достъп, ако няма нищо?
Правилно съм си нагласил правилата, предполагам? Аз не мога да установя де факто минава ли нещо през IPSec-а от моя страна.
После мислех да го огранича до 2 конкретни машини във Firewall-а. Да accept forward-вам само между конкретен IP от вътрешната мрежа. В момента работи нещо и има достъп. Обаче аз не мога да го установя през Микротика какво работи и как работи. Искам да се уверя, че работи защитено.

Преди 2 часа, 111111 написа:

Има ли причина да не ползваш L2TP,

Има. И аз предпочитам да имам интерфейс, към който да насочвам. Подадена ми е конфигурация. Аз я въвеждам в Микротика.
Сбъркал ли съм нещо? И второто - трафика откъде минава, след като не стига до Фаза2? Фаза1 очевидно я минава, щом е established.

Преди 2 часа, sairos написа:

Най-вероятно имате разминаване в параметрите на втора фаза, за жалост това с микротика не може да се види.

Пробвах за теста да нацъкам всичките опции. Няма Фаза 2 и това е. Подадено ми е за DH group = none.

Като цяло с Микротика с филтриране, L7, dst-nat правила, ip pool-ове, конфигурации на интерфейсите не срещам затруднения.
Тук обаче не мога да проследя какво се случва. И ако нямам phase2 не би ли следвало да не върви нищо?
А ако съм настроил правилата правилно спрямо тунела, което ще се радвам, ако го потвърдите, откъде минава тоя трафик?
Бих се радвал ако някой може да поясни.

Edited by netuno
Link to comment
Share on other sites

  • 0
  • Administrator

Дигни си нивото на логване, свери си часовника.

И кой е интерфейса при IPSEC ?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Не ми става ясно за какъв трафик който върви говориш, моля да поясниш.

Пак казвам говори с човека от другата страна да погледне при него какво не Ви е еднакво на втора фаза.
Пускайки всички опции не означава че ще оправиш проблема на втора фаза.

Link to comment
Share on other sites

  • 0
Преди 11 часа, netuno написа:

Подадена ми е конфигурация. Аз я въвеждам в Микротика.

Аз бих отправил тези въпроси към този който е подал конфигурацията. Мултивендор IPSec-a се дебъгва достатъчно криво, а при спестена 90% от конфигурацията и без дебъг може само да се вайкаме в темата.

Link to comment
Share on other sites

  • 0
Преди 10 часа, sairos написа:

Не ми става ясно за какъв трафик който върви говориш, моля да поясниш.

Отсрещната страна казва, че има достъп до необходимите ресурси, т.е има достъп до локалната мрежа.
След като съм направил IPSec с peers моето IP и тяхното IP, техният събнет и моят събнет би трябвало IPSec да го прихване, нали така?
Единственото друго нещо, което имам е route към техния събнет през Ether1. 
Има ли вариант при зададена IPSec policy по по-горните параметри които съм дал трафикът да я прескача и да минава през Ether1, без да използва IPSec policy-то, след като съм задал изрично параметрите на връзката в него?
Да вкарам ли в accept rule-овете ipsec 

Edited by netuno
Link to comment
Share on other sites

  • 0

В такъв случай имате работещ ipsec и втора фаза минава, най-вероятно нещо правилата ти за трафика не са правилни.

Link to comment
Share on other sites

  • 0
Преди 2 часа, sairos написа:

В такъв случай имате работещ ipsec и втора фаза минава, най-вероятно нещо правилата ти за трафика не са правилни.

Ако те го пускат само при нужда, а после го спират, Ph2 count брои тоталните за Established сесията, докато изтече timeout-а й или от последното успешно свързване, така че ако следващо не е успешно или се разкачат се ресетва на 0?

Link to comment
Share on other sites

  • 0

Когато няма трафик по тунела  сесията изтича и той се разпада, подновяването става автоматично когато започне да тече пак трафик.

 

Link to comment
Share on other sites

  • 0
На 27.10.2020 г. at 20:10, netuno написа:

Тунелът ми казва established, но no phase2. SA-та няма, не започва шифрирано предаване.

Този естаблиш къде точно го четете? При site to site IPSEC няма тунелен нтерфейс, а се изгражда перманентна криптирана връзка на основата на определени правила!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.