Jump to content
  • 0

IPSec site2site тунел с агенция митници


Petar_Argirov
 Share

Question

Здравейте, от няколко дни имам нерешен проблем с прост тунел от типа/ ipsec SITE2SITE/  до агенция митници.

Изсипаха ми следната конфигурация:
1. Вашата мрежа  ( source network ) е  192.168.123.192 MASK 255.255.255.248
-полезният трафик трябва да  идва от тази мрежа.

2. Нашата мрежа ( destination network ) е:
10.30.14.17/255.255.255.255
? полезният трафик се изпраща към този адрес.
3. Gateway на АМ  -  212.122.165.10
4. Phase 1 ? IKE (Internet Key Exchange):пха
        Encryption ? 3DES       (Data Encryption Standard )
        Hashing algorithm ? SHA  ( Secure Hash Algorithm )
        Life time ? 36000
        DH group 2 ( 1024 bit )
        Authentication ? pre-shared key    ЬЬЬЬЬЬЬЬХХХХХХ
5. Phase 2 - IPsec:
        Encryption ? 3DES
        Hashing algorithm ? SHA
        Lifetime ? 28800
        PFS (Perfect Forward Secrecy ) ? DH group 2 ( 1024 bit )
        Encapsulation ? ESP
        Mode ? MAIN mode tunnel

6. test:
        http://10.30.14.17:8080

Прикачвам ви конфигурационния ми rsc файл, лог и др.

Грешката е още в phase1, което за мен значи:

грешна preshared key

грешни настройки с ipsec peers

Това е дългоочаквания отговор от хелп_дриска на агенцията:

Фаза 1 - life time 36000 s
Фаза 2 - life time 28800 s

Във firewall-a имате най вероятно NAT правило. Преди него трябва да дадете
разрешение за рутиране от малката мрежа 192.168.123.192 до 10.30.14.17

Даже не са си направили труда да погледнат каква конфигурация им пращам.

Моля за помощ от колегите или за платена консултация.

Петър

 

 

ipsec-conf.zip

log.txt

mikrotik-AM.rsc

Link to comment
Share on other sites

5 answers to this question

Recommended Posts

  • 0
  • Administrator

Тоз болен протокол трябва да го закрият елеменарна автоматизация не поддържа 

Какво му е на SSTP работ без яд

По TCP или по UDP трябва да работи

  • Like 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Здравей, лично не съм правил имплементация на iPSEC под микротик, но ти прегледах конфигурацията и мисля, че имаш пропуски при конфигурирането на мрежата и маршрутизацията.

Не виждам да си вдигнал IP адрес на микротика за мрежата 192.168.123.192/29, който да ти бъде gateway за хостовете при теб от тази мрежа.

Трябва да имаш правило в рутинг таблицата, което в твоя случаи е: за хост 10.30.14.17, gateway да бъде 212.122.165.10.

Погледни https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Отново бих уточнил с тях всички параметри при phase 1.

От лога не виждам да има пакети изпратени от 212.122.165.10 към теб, а само че след 5 опита, за установавяне на phase 1 счита peer за недостъпен, точно колкото е настроен и dpd-maximum-failures при теб.

Поздрави!

 

 

 

 

 

Edited by slevin
Link to comment
Share on other sites

  • 0

Ако правиш IPsec Site to Site лично аз в конфига не видях NAT T на двете мрежи което трябва да е първо правило, също така няма нагласен NTP Client , защото точното време на рутера е много важно точно за тази имплементация , защото брах проблеми и аз заради него ! Ако искаш най лесният вариант е EoIP с IPsec - бързо и лесно, дори може и L2TP с IPsec  . Както каза и колегата по-горе , ако има вариан може да минеш с SSTP което и аз предпочитам да ползвам , ако ми се даде право да избягам от IPSEC

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.