Jump to content
  • 0

МT IPSec към Linksys RVS 4000 VPN


Pavlov

Question

Здравейте!

Искам да направя VPN между МТ и Linksys RVS4000 VPN. Проблема е че Linksys-a има само IPSec и VPN-a трябва да бъде такъв.

Ситуацията е следната: 2 офиса като в единия има Linksys RVS4000 и има VPN IPSec  с агенция митници. В другия офис съм решил да сложа МТ RB 750, с такъв разполагам. Въпроса е дали ще може да се направи изобщо VPN между двете устройства или самия МТ дали ще може да се конфигурира, за да прехвърля тунела към Агенция Митници на МТ.

Ако някой е правил IPSec към Агенция Митници с MT  ще се радвам да сподели как да го направя и аз.

Link to comment
Share on other sites

Recommended Posts

  • 0
  • Administrator

Въпроса е дали ще може да се направи изобщо VPN между двете устройства или самия МТ дали ще може да се конфигурира, за да прехвърля тунела към Агенция Митници на МТ.

Ако някой е правил IPSec към Агенция Митници с MT  ще се радвам да сподели как да го направя и аз.

Може,прави се лесно.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 0
  • Administrator

RTFM

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

С микротик е и по лесно

че е и по стабилно няма смисъл и да коментирам

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

RTFM

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

С микротик е и по лесно

че е и по стабилно няма смисъл и да коментирам

Само искам да питам преди да се захвана с опитите в manuala пише, че Ip/IPSec  важи за 4.5 +. С тоя микротик който имам аз RB 750 е с версия 4.11. Дали ще стане или трябва да го update до версия 5 макар да е бета все още.

И още нещо все пак говорим за IPSec между микртоика и Агенция Митници?

Link to comment
Share on other sites

  • 0

Та ето каква е ситуацията на Linksys-a - вижте по-долу изображението.

В МТ съм го направило по следния начин:

Local: 192.168.115.201/24

Public: 192.168.1.2/24 - BTK с реално ИП като всички портове са пренасочени към 192.168.1.2

/ip ipsec peer

address=Real IP Mitnici/32:500 auth-method=pre-shared-key

    secret="kluch" generate-policy=no

    exchange-mode=main send-initial-contact=yes nat-traversal=no

    proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des

    dh-group=modp1024 lifetime=3w4d lifebytes=0 dpd-interval=disable-dpd

    dpd-maximum-failures=1

[admin@MikroTik] /ip ipsec policy> print

Flags: X - disabled, D - dynamic, I - inactive

0  src-address=192.168.115.201/32:any dst-address=Local IP MItnici xx.xx.14.17/32:any

    protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes

    sa-src-address=moeto real IP sa-dst-address=Real IP mitnici

    proposal=default priority=0

[admin@MikroTik] /ip ipsec proposal> print

Flags: X - disabled

0  name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m

    pfs-group=modp102

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0  chain=srcnat action=accept src-address=192.168.115.201

    dst-address=vatre6no IP na mitnici xx.xx.14.17

Това е което съм направил, но въпреки това нямам пинг към вътрешнот IP на агениция Митници, който е за проверка на тунела.

Дали съм допуснал някъде грешка или трябва още нещо да се добави.

Благодаря на всички предварително.

post-40-130900729167_thumb.jpg

Link to comment
Share on other sites

  • 0

от снимката която си дал скрееншот на модзилата ти виждам че си търsил RTFM - Read The Fuck'n Manual

вдига ли се изобщо тунела от микротика?

минавали някоя от фаза 1 или 2?

някакъв лог от микротика?

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

  • 0
  • Administrator

.. което съм направил, но въпреки това нямам пинг към вътрешнот IP на агениция Митници, който е за проверка на тунела.

Проверката на тунела с митници се прави по порт а не по пинг.

Адреса е  ..14.17:8080

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 0

от снимката която си дал скрееншот на модзилата ти виждам че си търsил RTFM - Read The Fuck'n Manual

вдига ли се изобщо тунела от микротика?

минавали някоя от фаза 1 или 2?

някакъв лог от микротика?

За съжаление manuala не помогна. Точно там пише, че описания IPSec е за версия 4.5 и по-нова и затова попитах дали ще се получи, защото аз съм с 4.11.

Реших да оставя за момент тунела с агенция Митници и да направя IPSec между 2 RB750, но нищо не се получава. Ето какво правя:

[admin@MikroTik] /ip ipsec policy> print

Flags: X - disabled, D - dynamic, I - inactive

0  src-address=192.168.0.0/24:any dst-address=192.168.115.0/24:any

    protocol=all action=encrypt level=require ipsec-protocols=esp

    tunnel=yes sa-src-address=178.169.139.239 sa-dst-address=83.228.42.132

    proposal=default priority=0

[admin@MikroTik] /ip ipsec policy> print

Flags: X - disabled, D - dynamic, I - inactive

0  src-address=192.168.0.0/24:any dst-address=192.168.115.0/24:any

    protocol=all action=encrypt level=require ipsec-protocols=esp

    tunnel=yes sa-src-address=178.169.139.239 sa-dst-address=83.228.42.132

    proposal=default priority=0

[admin@MikroTik] /ip ipsec policy> print

Flags: X - disabled, D - dynamic, I - inactive

0  src-address=192.168.0.0/24:any dst-address=192.168.115.0/24:any

    protocol=all action=encrypt level=require ipsec-protocols=esp

    tunnel=yes sa-src-address=178.169.139.239 sa-dst-address=83.228.42.132

    proposal=default priority=0

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0  chain=srcnat action=accept src-address=192.168.0.0/24

    dst-address=192.168.115.0/24

Ето това е настройката на 1 рутер, като настройките на другия са същите само са обърнати IP адресите. Тунел не се вдига. Пробвам като пусна пинг към Local IP на другия рутер, но въпреки това тунел няма. Не минава нито една фаза. Четох много постове, дори намерих и видео и всичко си е както аз го правя но има проблем явно някъде.

Link to comment
Share on other sites

  • 0
  • Administrator

ай малка подсвета

кое е по голямо

4,05 или 4,11

четене и пак четене

да не споменавам че актуалната стабилна е още по нова от 4,11

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

ай малка подсвета

кое е по голямо

4,05 или 4,11

четене и пак четене

да не споменавам че актуалната стабилна е още по нова от 4,11

Ми стига 4.5 да означава 4.05. Все пак пробвах да вдигна най-обикновен тунел IPIP между двата RB750 и не се получи. Ще правя update. Между 4.11 и 4.11 IPIP тунела не се получава, но между 5rc11 и 4.11 се получи. Незнам какво се случва и затова ще правя update към 5rc11.

Link to comment
Share on other sites

  • 0
  • Administrator

няма смисъл да се вкарваме в безсмислени спорове относно бройно редовата система

http://www.mikrotik.com/download/CHANGELOG_4

за момента 4,17 е актуалната версия

относно дали ще работи с агенция митници (като знам финансовата практика) ще работи на 100%

и ако има проблем то той ще е от тяхната страна

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

от снимката която си дал скрееншот на модзилата ти виждам че си търsил RTFM - Read The Fuck'n Manual

вдига ли се изобщо тунела от микротика?

минавали някоя от фаза 1 или 2?

някакъв лог от микротика?

Не не вдига изобщо никакъв тунел. Само да уточня, че единия МТ е на АДСЛ. Пробвах да на направя IPIP и той също не се получаваше, а то се оказа причината в това, че в Local address трябвало да се напише 192.168.1.2, а не реалното ИП. Та някакви идеи защо може да не се вдига тунела. Сега на IPSec също промених sa-src-address на 192.168.1.2. И в двата случая което и ИП да сложа все не се вдига тунела.

Някакви идеи за възможни грешки, които съм направил или пропускам нещо.

Благодаря!

Link to comment
Share on other sites

  • 0

Така успях да вдигна тунела между МТ и  Linksys RVS 4000. Сега обаче имам следния проблем. Компютрите от вътрешната мрежа на МТ нямат ping до адресите от вътрешната мрежан а Linksys-a. Направил съм пренасочване в МТ на мрежите както трябва да си бъде обаче няма резултат. Иначе от МТ като пусна към вътрешни ИП на Linksys-a имам пинг.

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0  chain=srcnat action=accept src-address=10.10.10.0/24

    dst-address=192.168.115.0/24

Някакви идеи?

Link to comment
Share on other sites

  • 0
  • Administrator

ползвай рутиране

/ip route rule
add action=lookup-only-in-table comment="" disabled=no dst-address=172.16.0.0/24 routing-mark=dzone src-address=10.6.2.0/24 table=main
add action=lookup-only-in-table comment="" disabled=no dst-address=192.168.4.0/24 routing-mark=dzone src-address=10.6.2.0/24 table=main[/code]

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator

Абе човеко що не дадеш 5 лева на някои дати вдигне тунелите.Целия панаир ти се се решава за 10 минути.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.