IPSec site2site тунел с агенция митници

[Petar_Argirov]

Здравейте, от няколко дни имам нерешен проблем с прост тунел от типа/ ipsec SITE2SITE/  до агенция митници.

Изсипаха ми следната конфигурация:
1. Вашата мрежа  ( source network ) е  192.168.123.192 MASK 255.255.255.248
-полезният трафик трябва да  идва от тази мрежа.

2. Нашата мрежа ( destination network ) е:
10.30.14.17/255.255.255.255
? полезният трафик се изпраща към този адрес.
3. Gateway на АМ  -  212.122.165.10
4. Phase 1 ? IKE (Internet Key Exchange):пха
        Encryption ? 3DES       (Data Encryption Standard )
        Hashing algorithm ? SHA  ( Secure Hash Algorithm )
        Life time ? 36000
        DH group 2 ( 1024 bit )
        Authentication ? pre-shared key    ЬЬЬЬЬЬЬЬХХХХХХ
5. Phase 2 - IPsec:
        Encryption ? 3DES
        Hashing algorithm ? SHA
        Lifetime ? 28800
        PFS (Perfect Forward Secrecy ) ? DH group 2 ( 1024 bit )
        Encapsulation ? ESP
        Mode ? MAIN mode tunnel

6. test:
        http://10.30.14.17:8080

Прикачвам ви конфигурационния ми rsc файл, лог и др.

Грешката е още в phase1, което за мен значи:

грешна preshared key

грешни настройки с ipsec peers

Това е дългоочаквания отговор от хелп_дриска на агенцията:

Фаза 1 - life time 36000 s
Фаза 2 - life time 28800 s

Във firewall-a имате най вероятно NAT правило. Преди него трябва да дадете
разрешение за рутиране от малката мрежа 192.168.123.192 до 10.30.14.17

Даже не са си направили труда да погледнат каква конфигурация им пращам.

Моля за помощ от колегите или за платена консултация.

Петър

 

 

ipsec-conf.zip

log.txt

mikrotik-AM.rsc

[111111]

Тоз болен протокол трябва да го закрият елеменарна автоматизация не поддържа 

Какво му е на SSTP работ без яд

По TCP или по UDP трябва да работи

[Petar_Argirov]

Здравей, по-принцип UDP порт 500 са ми пуснали от АМ

[slevin]

Здравей, лично не съм правил имплементация на iPSEC под микротик, но ти прегледах конфигурацията и мисля, че имаш пропуски при конфигурирането на мрежата и маршрутизацията.

Не виждам да си вдигнал IP адрес на микротика за мрежата 192.168.123.192/29, който да ти бъде gateway за хостовете при теб от тази мрежа.

Трябва да имаш правило в рутинг таблицата, което в твоя случаи е: за хост 10.30.14.17, gateway да бъде 212.122.165.10.

Погледни https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Отново бих уточнил с тях всички параметри при phase 1.

От лога не виждам да има пакети изпратени от 212.122.165.10 към теб, а само че след 5 опита, за установавяне на phase 1 счита peer за недостъпен, точно колкото е настроен и dpd-maximum-failures при теб.

Поздрави!

 

 

 

 

 

Edited March 8, 2017 by slevin

[JohnTRIVOLTA]

Ако правиш IPsec Site to Site лично аз в конфига не видях NAT T на двете мрежи което трябва да е първо правило, също така няма нагласен NTP Client , защото точното време на рутера е много важно точно за тази имплементация , защото брах проблеми и аз заради него ! Ако искаш най лесният вариант е EoIP с IPsec - бързо и лесно, дори може и L2TP с IPsec  . Както каза и колегата по-горе , ако има вариан може да минеш с SSTP което и аз предпочитам да ползвам , ако ми се даде право да избягам от IPSEC

[ivoo13]

Колега как реши проблема ти имам същата драма?