Jump to content
  • 0

IPsec between Mikrotik and Sonicwall

Amihaylov

Asked by Amihaylov,

 Share

Question

Amihaylov Newbie

Amihaylov

Posted
Posted

Здравейте,

Извинявам се ако въпроса е коментиран вече. Опитвам се да осъщества IPsec тунел между два офиса, в единия имам RB2011UiAS-RM с лан мрежа 192.168.0.0/24, а в другия рутер Sonicwall TZ105 с лан мрежа 192.168.6.0/24,  като идеята е офис1 който е с микротик да има достъп до NAS който е зад sonicwall.

Ipsec тунела към момента е осъществен, но имам само и единствено ping до всички устройства зад sonicwall-a, но нямам ping от устройствата зад sonicwall към тези зад MikroTik 

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des lifetime=8h
/ip ipsec peer
add address=109.***.***.52/32 enc-algorithm=3des lifetime=8h secret=********
/ip ipsec policy
add dst-address=192.168.6.0/24 sa-dst-address=109.***.***.52 sa-src-address=109.***.***.33 src-address=\
   192.168.0.0/24 tunnel=yes

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add chain=input comment="default configuration" in-interface=ether1-gateway log=yes
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=\
    established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=fasttrack-connection chain=forward comment="default configuration" connection-nat-state=\
    !dstnat connection-state=new in-interface=ether1-gateway
add chain=forward dst-address=192.168.0.0/24 src-address=192.168.6.0/24
add chain=forward dst-address=192.168.6.0/24 src-address=192.168.0.0/24
/ip firewall nat
add chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.6.0/24
add chain=srcnat dst-address=192.168.6.0/24 log=yes src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
add action=dst-nat chain=dstnat dst-port=3389 protocol=tcp to-addresses=192.168.0.100 to-ports=3389
add action=dst-nat chain=dstnat dst-port=163 log=yes protocol=udp to-addresses=192.168.0.100 to-ports=161
add action=dst-nat chain=dstnat dst-port=164 protocol=udp to-addresses=192.168.0.4 to-ports=161

/ip router print

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          109.***.***.1             1
 1 ADC  109.***.***.0/24   109.***.***.33  ether1-gateway            0
 2 ADC  192.168.0.0/24     192.168.0.1     bridge-local              0

Какво пропускам?

 

Благодаря ви предварително !

 

Link to comment
Share on other sites

8 answers to this question

Recommended Posts

  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted (edited)

Вдигни последните 2 правила 

add chain=forward dst-address=192.168.0.0/24 src-address=192.168.6.0/24
add chain=forward dst-address=192.168.6.0/24 src-address=192.168.0.0/24

във филтъра над  

add action=fasttrack-connection chain=forward comment="default configuration" connection-state=\
    established,related

пример !

 

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
  • Administrator
111111 Rising Star

111111

Posted
  • Administrator
Posted 
/ip ipsec policy group
add name=agrcj
add name=black
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des lifetime=1h pfs-group=none
add enc-algorithms=aes-256-cbc name=agrcjph2
add enc-algorithms=aes-256-cbc name=blackph2 pfs-group=none
/ip ipsec peer
add address=84.232.yyy.yyy/32 disabled=yes enc-algorithm=3des lifetime=30m local-address=87.121.yyy.yyy mode-config=request-only nat-traversal=no passive=yes policy-template-group=agrcj secret=abcdefghij
add address=213.233.xxx.xxx/32 enc-algorithm=aes-256 lifetime=1h local-address=87.121.yyy.yyy policy-template-group=black secret=abcdefghij
/ip ipsec policy

add dst-address=192.168.12.0/24 level=unique proposal=blackph2 sa-dst-address=213.233.xxx.xxx sa-src-address=87.121.yyy.yyy src-address=192.168.71.0/24 tunnel=yes

аз лично бих предпочел L2TP

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

RB951Ui-2HnD / RBD25GR-5HPACQD2HPND&R11E-LTE6 /  RB952Ui-5ac2nD-TC

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites
  • 0
Amihaylov
Newbie

Amihaylov

Posted
  • Author
Posted

Получи се,

Благодаря

Преди 8 часа, JohnTRIVOLTA написа:

Вдигни последните 2 правила 


add chain=forward dst-address=192.168.0.0/24 src-address=192.168.6.0/24
add chain=forward dst-address=192.168.6.0/24 src-address=192.168.0.0/24

във филтъра над  


add action=fasttrack-connection chain=forward comment="default configuration" connection-state=\
    established,related

пример !

 

 

Link to comment
Share on other sites
  • 0
Amihaylov
Newbie

Amihaylov

Posted
  • Author
Posted

Искам да ви попитам на какво може да се дължи, когато тунела е осъществен се появяват загуби до ip 192.168.0.100 ня което има отворен порт 3389. И remote terminal-а прекъсва. Пинга през микротика до това IP стига до 400 500ms или time out. Мислих че е възможно да е кабелен проблем, но когато спра IPsec всичко работи нормално без каквито и да е загуби и прекъсвания. Незнам дали има връзка, но трафика през тунела не надвишава 10mbits и CPU-to на микротика е през цялото време на 100% когато има трафик.

Благодаря,

Link to comment
Share on other sites
  • 0
  • Administrator
111111 Rising Star

111111

Posted
  • Administrator
Posted

Разкарай постановката и направи L2TP,или SSTP. 

криптирането ти идва в повече и процесора се предава.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

RB951Ui-2HnD / RBD25GR-5HPACQD2HPND&R11E-LTE6 /  RB952Ui-5ac2nD-TC

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites
  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted (edited)
Just now, Amihaylov написа:

Искам да ви попитам на какво може да се дължи, когато тунела е осъществен се появяват загуби до ip 192.168.0.100 ня което има отворен порт 3389. И remote terminal-а прекъсва. Пинга през микротика до това IP стига до 400 500ms или time out. Мислих че е възможно да е кабелен проблем, но когато спра IPsec всичко работи нормално без каквито и да е загуби и прекъсвания. Незнам дали има връзка, но трафика през тунела не надвишава 10mbits и CPU-to на микротика е през цялото време на 100% когато има трафик.

Благодаря,

Толкова си може процесорчето 10-12Мбит/с , защото няма хардуерна поддръжка на криптирането! За това когато ще се ползва IPSEC се избира нещо базирано на PowerPC:

"

List of RouterBoards with enabled hardware support:

  • RB1000
  • RB1100AHx2
  • All CloudCoureRouter series boards
  • RB850Gx2

"

L2TP с IPSEC  е същата история , но поне терминала няма да прекъсва може би !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
Mupo neTkoB Newbie

Mupo neTkoB

Posted
Posted

Приятел, ти какво криптираш? данни на Американското посолство или просто на "ваш'та фирма" програмата? искам да питам за да криптираш данните то трябва да са ти супер важни, но ако те са супер важни то май няма да питаш по форумите как става и може би системния админ щеше да е по-запознат от всички нас, както и техниката която ползвате щеше да е по-"добра". ;) не го приемай като обида и разкарай тез криптирания и т.н и си направи прости 2 тунела и забрави за проблемите

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept