Έχω ένα πρόβλημα σε ένα IPsec site to site VPN με δύο Mikrotik που μου έχει σπάσει τα νεύρα και δεν μπορώ να καταλάβω τι γίνεται.
Η υλοποίηση είναι αρκετά απλή και την έχω κάνει δεκάδες φορές στο παρελθόν.
Στο ένα site, γραφείο, υπάρχει ένα RB3011 που κάνει PPPoE με static IP. Το δίκτυο στο γραφείο είναι 192.168.2.0/24
Στο άλλο site, σπίτι, υπάρχει μια ADSL σύνδεση της Cosmote με router ΖΤΕ Η1600, που έχει IP 192.168.1.1.
Αυτό που έχω κάνει στο remote site είναι να βάλω το Mikrotik πίσω από το router της Cosmote με IP 192.168.1.254, κάνω port forward τις πόρτες 500 & 4500 προς το Mikrotik και επίσης δημιουργώ ένα static route στο ΖΤΕ της μορφής destination network 192.168.2.0/24 -> gateway 192.168.1.254
Όλες οι ρυθμίσεις που έχω κάνει στα 2 mikrotik είναι οι ίδιες που έχω κάνει και για άλλα sites με το γραφείο και λειτουργούν κανονικά, δηλαδή στην κατηγορία IP/IPSEC και φυσικά κάνω accept στο IP/FIREWALL/ΝΑΤ τα αντίστοιχα πακέτα source & destination network για να γίνεται override to ΝΑΤ.
Το VPN γίνεται established κανονικά, μπορώ να κάνω ping και από τις δύο μεριές προς hosts της άλλης πλευράς, traceroute επίσης λειτουργεί κανονικά αμφίδρομα, μπαίνω με ssh στο απομακρυσμένο mikrotik, αλλά δεν μπορώ με τίποτα να μπω στο web interface του mikrotik, αλλά ούτε και σε άλλες συσκευές που έχουν web interface στο δίκτυο του σπιτιού. Το αντίστροφο λειτουργεί κανονικά.
Έχω δοκιμάσει κάθε τι πιθανό και απίθανο. Μέχρι που είδα μάλιστα ότι η σύνδεση του σπιτιού είναι πίσω από CGNAT και ζήτησα και το άλλαξαν, αλλά τζίφος.
Χοντρικά, οι ρυθμίσεις που έχω κάνει είναι οι παρακάτω:
Έχει τύχει κάτι ανάλογο σε κάποιον; Τείνω να σκέφτομαι ότι κάτι πάει στραβά με τα καινούρια ρουτεράκια της Cosmote, γιατί στον ίδιο χώρο με τον ίδιο προγραμματισμό μέχρι πέρσι λειτουργούσε κανονικά το VPN, απλά είχα ένα παλιό router της Cosmote.Κώδικας:Γραφείο /ip ipsec profile set [ find default=yes ] lifetime=1h add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 name=profile_1 /ip ipsec peer add address=xxx.sn.mynetname.net name=Spiti profile=profile_1 /ip ipsec proposal add auth-algorithms=md5 enc-algorithms=3des name=VPN pfs-group=none /ip ipsec identity add peer=Spiti secret=********* /ip ipsec policy add dst-address=192.168.1.0/24 level=unique peer=Spiti proposal=VPN src-address=192.168.2.0/24 tunnel=yes /ip firewall nat add action=accept chain=input in-interface=bridge1 ipsec-policy=in,ipsec add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24 Σπίτι /ip ipsec profile add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 name=profile_1 /ip ipsec peer add address=XXX.XXX.XXX.XXX/32 name=Office profile=profile_1 /ip ipsec proposal add auth-algorithms=md5 enc-algorithms=3des name=VPN pfs-group=none /ip ipsec identity add peer=LTcom secret=******* /ip ipsec policy add dst-address=192.168.2.0/24 level=unique peer=Office proposal=VPN src-address=192.168.1.0/24 tunnel=yes /ip firewall nat add action=accept chain=input in-interface=bridge1 ipsec-policy=in,ipsec add action=accept chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24
Εμφάνιση 1-15 από 67
-
30-06-22, 10:45 Mikrotik IPsec VPN site to site #1
-
30-06-22, 15:56 Απάντηση: Mikrotik IPsec VPN site to site #2
έχεις βάλει σε allow list και στα 2 δίκτυα το http??
http://www.elink.gr
Internet ,Προγραμματισμός ,Smartphone Apps, Κατασκευή Ιστοσελίδων, Υποστήριξη Δικτύων, Service H/Y , Graphics - Media
-
30-06-22, 16:17 Απάντηση: Mikrotik IPsec VPN site to site #3
Δεν κόβω και τίποτα!
Κώδικας:/ip firewall filter add action=accept chain=input in-interface=bridge1 ipsec-policy=in,ipsec add action=accept chain=input protocol=ipsec-ah add action=accept chain=input protocol=ipsec-esp add action=accept chain=input port=500 protocol=udp add action=accept chain=input port=4500 protocol=udp add action=accept chain=forward add action=accept chain=input
-
30-06-22, 21:04 Απάντηση: Mikrotik IPsec VPN site to site #4
Αυτο δεν το καταλαβαινω...
Στις περιπτωσεις που εχω "σπιτι" με δυναμικη IP (ή/και cgnat) απο τη μια, και στατικη απο την αλλη (γραφειο κλπ.), φτιαχνω ενα tunnel L2TP/IPSEC (που με απαλασσει εντελως απο τις ρυθμισεις του ipsec), και μετα η δρομολογηση ειναι παιχνιδι. Αμα πεσει το σπιτι και αλλαξει η IP, συνεχιζει κανονικα. Οι κανονες στο input μπαινουν μονο στο ΜΤ του γραφειου (η συνδεση ανοιγει παντα απο το "σπιτι").Τελευταία επεξεργασία από το μέλος dalex : 30-06-22 στις 21:10.
-
30-06-22, 21:20 Απάντηση: Mikrotik IPsec VPN site to site #5
-
30-06-22, 21:46 Απάντηση: Mikrotik IPsec VPN site to site #6
Γενικά τα IPsec site-to-site είναι λίγο joker.
Αυτό που ανέφερε ο Dalex ισχύει. Μερικά router των isp, με απλό port forward δεν παίζει το IPsec σωστά και έχω αναγκαστεί να κάνω dmz (και αυτό παίζεται).
Η λύση του l2tp/IPsec, λύνει αυτά τα προβλήματα αλλά και του εύκολου routing.
-
30-06-22, 21:47 Απάντηση: Mikrotik IPsec VPN site to site #7
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
30-06-22, 21:50 Απάντηση: Mikrotik IPsec VPN site to site #8
Δηλαδη, ολα τα πακετα φτανουν στο ZTE, αλλα αυτα του 192.168.2.0/24 τα κανεις γκελα πιζω στο ΜΤ? Αυτος ειναι ο λαθος τροπος. Το σωστο ειναι να δινεις (με το dhcp) στους πελατες το καταλληλο route με το option 121/249, ετσι ωστε να τα στελνουν κατευθειαν στο ΜΤ. Δεν ξερω βεβαια αν το ZTE εχει τετοιο feature...
-
30-06-22, 22:01 Απάντηση: Mikrotik IPsec VPN site to site #9
Ακριβώς όπως τα λες! Από το σπίτι βλέπω web interface, file server, εκτυπωτές τα πάντα!
Από το γραφείο μπορώ να κάνω ping, traceroute στο δίκτυο του σπιτιού και ανοίγει ssh στο Mikrotik.
Winbox από σπίτι-> γραφείο δουλεύει. Το αντίστροφο, συνδέεται αλλά αργεί υπερβολικά να φέρει δεδομένα.
Δοκίμασα και ΙΡ:πόρτα από το γραφείο προς το σπίτι, αλλά τίποτα...
Έκανα reset το config του ΜΤ, το έστησα από την αρχή. Έχω κάνει δεκάδες VPN με αυτόν τον τρόπο και δεν είχα ποτέ πρόβλημα. Δοκίμασα επίσης το γραφείο να είναι passive και να κάνει την "κλήση" το σπίτι αλλά τα ίδια...
-
30-06-22, 22:02 Απάντηση: Mikrotik IPsec VPN site to site #10
Θα σου προτεινα οπως εισαι να κανεις 2 κληση pppoe απο το Μικροτικ
και να δεις αν παιζεις οκ.
Εχω κι εγω το ZTE 1600 απο αντικατασταση του Speedport plus και εχω παρατηρησει οτι το firmware ειναι πετσοκομμενο και
με προβληματα.
-
30-06-22, 22:05 Απάντηση: Mikrotik IPsec VPN site to site #11
Δεν ειναι εύκολο αυτό στις περισσότερες περιπτώσεις με τα routers των παρόχων. Δεν μπορείς να πειράξεις πολλά στον DHCP server τους, εκτός από το εύρος των διευθύνσεων που θα χρησιμοποιηθούν και ίσως το lease time.
- - - Updated - - -
Πολύ θα το ήθελα, και είμαι σίγουρος ότι θα παίξει, αλλά θα μπλέξω με την τηλεφωνία και επίσης πρέπει να βάλω αλλάξω το MT με ένα που έχει WiFi.
Βασικά τώρα που το σκέφτομαι, η τηλεφωνία δε με νοιάζει καθόλου εκεί, απλά θα αργήσω να πάω για να το κάνω αυτό!
-
30-06-22, 22:09 Απάντηση: Mikrotik IPsec VPN site to site #12
Μπορεις να κλεισεις το dhcp στο ΖΤΕ και να το αναθεσεις στο ΜΤ. Παρακατω ενα link για να μην τρελλαθεις με το υπολογισμο του option 121/249.
https://www.medo64.com/2018/01/confi...-route-option/
Η ενεργοποιησή του ειναι παιχνιδι μολις βρεις το σωστο string. Στην περιπτωσή σου ειναι το 0x00C0A8010118C0A802C0A801FE και η εντολη (οπως την βγαζει το site):
Κώδικας:/ip dhcp-server option add code=121 name=classless-static-route-option value=0x00C0A8010118C0A802C0A801FE
-
30-06-22, 22:12 Απάντηση: Mikrotik IPsec VPN site to site #13
-
30-06-22, 22:19 Απάντηση: Mikrotik IPsec VPN site to site #14
-
30-06-22, 22:23 Απάντηση: Mikrotik IPsec VPN site to site #15
Bookmarks