Jump to content
  • 0
Petar_Argirov

IPSec site2site тунел с агенция митници

Question

Petar_Argirov

Здравейте, от няколко дни имам нерешен проблем с прост тунел от типа/ ipsec SITE2SITE/  до агенция митници.

Изсипаха ми следната конфигурация:
1. Вашата мрежа  ( source network ) е  192.168.123.192 MASK 255.255.255.248
-полезният трафик трябва да  идва от тази мрежа.

2. Нашата мрежа ( destination network ) е:
10.30.14.17/255.255.255.255
? полезният трафик се изпраща към този адрес.
3. Gateway на АМ  -  212.122.165.10
4. Phase 1 ? IKE (Internet Key Exchange):пха
        Encryption ? 3DES       (Data Encryption Standard )
        Hashing algorithm ? SHA  ( Secure Hash Algorithm )
        Life time ? 36000
        DH group 2 ( 1024 bit )
        Authentication ? pre-shared key    ЬЬЬЬЬЬЬЬХХХХХХ
5. Phase 2 - IPsec:
        Encryption ? 3DES
        Hashing algorithm ? SHA
        Lifetime ? 28800
        PFS (Perfect Forward Secrecy ) ? DH group 2 ( 1024 bit )
        Encapsulation ? ESP
        Mode ? MAIN mode tunnel

6. test:
        http://10.30.14.17:8080

Прикачвам ви конфигурационния ми rsc файл, лог и др.

Грешката е още в phase1, което за мен значи:

грешна preshared key

грешни настройки с ipsec peers

Това е дългоочаквания отговор от хелп_дриска на агенцията:

Фаза 1 - life time 36000 s
Фаза 2 - life time 28800 s

Във firewall-a имате най вероятно NAT правило. Преди него трябва да дадете
разрешение за рутиране от малката мрежа 192.168.123.192 до 10.30.14.17

Даже не са си направили труда да погледнат каква конфигурация им пращам.

Моля за помощ от колегите или за платена консултация.

Петър

 

 

ipsec-conf.zip

log.txt

mikrotik-AM.rsc

Share this post


Link to post
Share on other sites

5 answers to this question

Recommended Posts

  • 0
111111

Тоз болен протокол трябва да го закрият елеменарна автоматизация не поддържа 

Какво му е на SSTP работ без яд

По TCP или по UDP трябва да работи

  • Like 1

Share this post


Link to post
Share on other sites
  • 0
Petar_Argirov

Здравей, по-принцип UDP порт 500 са ми пуснали от АМ

Share this post


Link to post
Share on other sites
  • 0
slevin

Здравей, лично не съм правил имплементация на iPSEC под микротик, но ти прегледах конфигурацията и мисля, че имаш пропуски при конфигурирането на мрежата и маршрутизацията.

Не виждам да си вдигнал IP адрес на микротика за мрежата 192.168.123.192/29, който да ти бъде gateway за хостовете при теб от тази мрежа.

Трябва да имаш правило в рутинг таблицата, което в твоя случаи е: за хост 10.30.14.17, gateway да бъде 212.122.165.10.

Погледни

Please login or register to see this content.

Отново бих уточнил с тях всички параметри при phase 1.

От лога не виждам да има пакети изпратени от 212.122.165.10 към теб, а само че след 5 опита, за установавяне на phase 1 счита peer за недостъпен, точно колкото е настроен и dpd-maximum-failures при теб.

Поздрави!

 

 

 

 

 

Edited by slevin

Share this post


Link to post
Share on other sites
  • 0
JohnTRIVOLTA

Ако правиш IPsec Site to Site лично аз в конфига не видях NAT T на двете мрежи което трябва да е първо правило, също така няма нагласен NTP Client , защото точното време на рутера е много важно точно за тази имплементация , защото брах проблеми и аз заради него ! Ако искаш най лесният вариант е EoIP с IPsec - бързо и лесно, дори може и L2TP с IPsec  . Както каза и колегата по-горе , ако има вариан може да минеш с SSTP което и аз предпочитам да ползвам , ако ми се даде право да избягам от IPSEC

Share this post


Link to post
Share on other sites
  • 0
ivoo13

Колега как реши проблема ти имам същата драма?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.