Mikrotik IPsec VPN site to site

[sxbcl]

Έχω ένα πρόβλημα σε ένα IPsec site to site VPN με δύο Mikrotik που μου έχει σπάσει τα νεύρα και δεν μπορώ να καταλάβω τι γίνεται.
Η υλοποίηση είναι αρκετά απλή και την έχω κάνει δεκάδες φορές στο παρελθόν.

Στο ένα site, γραφείο, υπάρχει ένα RB3011 που κάνει PPPoE με static IP. Το δίκτυο στο γραφείο είναι 192.168.2.0/24
Στο άλλο site, σπίτι, υπάρχει μια ADSL σύνδεση της Cosmote με router ΖΤΕ Η1600, που έχει IP 192.168.1.1.
Αυτό που έχω κάνει στο remote site είναι να βάλω το Mikrotik πίσω από το router της Cosmote με IP 192.168.1.254, κάνω port forward τις πόρτες 500 & 4500 προς το Mikrotik και επίσης δημιουργώ ένα static route στο ΖΤΕ της μορφής destination network 192.168.2.0/24 -> gateway 192.168.1.254
Όλες οι ρυθμίσεις που έχω κάνει στα 2 mikrotik είναι οι ίδιες που έχω κάνει και για άλλα sites με το γραφείο και λειτουργούν κανονικά, δηλαδή στην κατηγορία IP/IPSEC και φυσικά κάνω accept στο IP/FIREWALL/ΝΑΤ τα αντίστοιχα πακέτα source & destination network για να γίνεται override to ΝΑΤ.

Το VPN γίνεται established κανονικά, μπορώ να κάνω ping και από τις δύο μεριές προς hosts της άλλης πλευράς, traceroute επίσης λειτουργεί κανονικά αμφίδρομα, μπαίνω με ssh στο απομακρυσμένο mikrotik, αλλά δεν μπορώ με τίποτα να μπω στο web interface του mikrotik, αλλά ούτε και σε άλλες συσκευές που έχουν web interface στο δίκτυο του σπιτιού. Το αντίστροφο λειτουργεί κανονικά.
Έχω δοκιμάσει κάθε τι πιθανό και απίθανο. Μέχρι που είδα μάλιστα ότι η σύνδεση του σπιτιού είναι πίσω από CGNAT και ζήτησα και το άλλαξαν, αλλά τζίφος.

Χοντρικά, οι ρυθμίσεις που έχω κάνει είναι οι παρακάτω:

Κώδικας:

Γραφείο
/ip ipsec profile
set [ find default=yes ] lifetime=1h
add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 name=profile_1
/ip ipsec peer
add address=xxx.sn.mynetname.net name=Spiti profile=profile_1
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des name=VPN pfs-group=none
/ip ipsec identity
add peer=Spiti secret=*********
/ip ipsec policy
add dst-address=192.168.1.0/24 level=unique peer=Spiti proposal=VPN src-address=192.168.2.0/24 tunnel=yes

/ip firewall nat
add action=accept chain=input in-interface=bridge1 ipsec-policy=in,ipsec
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24

Σπίτι
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 name=profile_1
/ip ipsec peer
add address=XXX.XXX.XXX.XXX/32 name=Office profile=profile_1
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des name=VPN pfs-group=none
/ip ipsec identity
add peer=LTcom secret=*******
/ip ipsec policy
add dst-address=192.168.2.0/24 level=unique peer=Office proposal=VPN src-address=192.168.1.0/24 tunnel=yes

/ip firewall nat
add action=accept chain=input in-interface=bridge1 ipsec-policy=in,ipsec
add action=accept chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24

Έχει τύχει κάτι ανάλογο σε κάποιον; Τείνω να σκέφτομαι ότι κάτι πάει στραβά με τα καινούρια ρουτεράκια της Cosmote, γιατί στον ίδιο χώρο με τον ίδιο προγραμματισμό μέχρι πέρσι λειτουργούσε κανονικά το VPN, απλά είχα ένα παλιό router της Cosmote.

[bannedteam]

έχεις βάλει σε allow list και στα 2 δίκτυα το http??

[sxbcl]

έχεις βάλει σε allow list και στα 2 δίκτυα το http??

Δεν κόβω και τίποτα!

Κώδικας:

/ip firewall filter
add action=accept chain=input in-interface=bridge1 ipsec-policy=in,ipsec
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input port=500 protocol=udp
add action=accept chain=input port=4500 protocol=udp
add action=accept chain=forward
add action=accept chain=input

[dalex]

δημιουργώ ένα static route στο ΖΤΕ της μορφής destination network 192.168.2.0/24 -> gateway 192.168.1.254

Αυτο δεν το καταλαβαινω...

Στις περιπτωσεις που εχω "σπιτι" με δυναμικη IP (ή/και cgnat) απο τη μια, και στατικη απο την αλλη (γραφειο κλπ.), φτιαχνω ενα tunnel L2TP/IPSEC (που με απαλασσει εντελως απο τις ρυθμισεις του ipsec), και μετα η δρομολογηση ειναι παιχνιδι. Αμα πεσει το σπιτι και αλλαξει η IP, συνεχιζει κανονικα. Οι κανονες στο input μπαινουν μονο στο ΜΤ του γραφειου (η συνδεση ανοιγει παντα απο το "σπιτι").

[sxbcl]

Αυτο δεν το καταλαβαινω...

Στις περιπτωσεις που εχω "σπιτι" με δυναμικη IP (ή/και cgnat) απο τη μια, και στατικη απο την αλλη (γραφειο κλπ.), φτιαχνω ενα tunnel L2TP/IPSEC (που με απαλασσει εντελως απο τις ρυθμισεις του ipsec), και μετα η δρομολογηση ειναι παιχνιδι. Αμα πεσει το σπιτι και αλλαξει η IP, συνεχιζει κανονικα. Οι κανονες στο input μπαινουν μονο στο ΜΤ του γραφειου (η συνδεση ανοιγει παντα απο το "σπιτι").

Δεν έχει να κάνει με το IPsec αυτό που γράφω. Κύριος router στο χώρο παραμένει αυτός της Cosmote, αυτός μοιραζει DHCP , αυτόν έχουν όλοι οι hosts ως gateway. Το static route γίνεται για να βρίσκουν οι hosts του σπιτιού αυτούς του γραφείου

[RpMz]

Γενικά τα IPsec site-to-site είναι λίγο joker.

Αυτό που ανέφερε ο Dalex ισχύει. Μερικά router των isp, με απλό port forward δεν παίζει το IPsec σωστά και έχω αναγκαστεί να κάνω dmz (και αυτό παίζεται).

Η λύση του l2tp/IPsec, λύνει αυτά τα προβλήματα αλλά και του εύκολου routing.

[deniSun]

αλλά δεν μπορώ με τίποτα να μπω στο web interface του mikrotik, αλλά ούτε και σε άλλες συσκευές που έχουν web interface στο δίκτυο του σπιτιού. Το αντίστροφο λειτουργεί κανονικά.

Κώστα, δηλαδή μπορείς από το σπίτι να δεις web interface του γραφείου
αλλά όχι από το γραφείο web interface που βρίσκονται στο σπίτι;

Στο winbox μπαίνεις και από τις δύο μεριές;

Στα route τι έχεις;

Στο web interface βάλε ΙΡ:πόρτα.

[dalex]

Δεν έχει να κάνει με το IPsec αυτό που γράφω. Κύριος router στο χώρο παραμένει αυτός της Cosmote, αυτός μοιραζει DHCP , αυτόν έχουν όλοι οι hosts ως gateway. Το static route γίνεται για να βρίσκουν οι hosts του σπιτιού αυτούς του γραφείου

Δηλαδη, ολα τα πακετα φτανουν στο ZTE, αλλα αυτα του 192.168.2.0/24 τα κανεις γκελα πιζω στο ΜΤ? Αυτος ειναι ο λαθος τροπος. Το σωστο ειναι να δινεις (με το dhcp) στους πελατες το καταλληλο route με το option 121/249, ετσι ωστε να τα στελνουν κατευθειαν στο ΜΤ. Δεν ξερω βεβαια αν το ZTE εχει τετοιο feature...

[sxbcl]

Κώστα, δηλαδή μπορείς από το σπίτι να δεις web interface του γραφείου
αλλά όχι από το γραφείο web interface που βρίσκονται στο σπίτι;

Στο winbox μπαίνεις και από τις δύο μεριές;

Στα route τι έχεις;

Στο web interface βάλε ΙΡ:πόρτα.

Ακριβώς όπως τα λες! Από το σπίτι βλέπω web interface, file server, εκτυπωτές τα πάντα!
Από το γραφείο μπορώ να κάνω ping, traceroute στο δίκτυο του σπιτιού και ανοίγει ssh στο Mikrotik.
Winbox από σπίτι-> γραφείο δουλεύει. Το αντίστροφο, συνδέεται αλλά αργεί υπερβολικά να φέρει δεδομένα.
Δοκίμασα και ΙΡ:πόρτα από το γραφείο προς το σπίτι, αλλά τίποτα...

Έκανα reset το config του ΜΤ, το έστησα από την αρχή. Έχω κάνει δεκάδες VPN με αυτόν τον τρόπο και δεν είχα ποτέ πρόβλημα. Δοκίμασα επίσης το γραφείο να είναι passive και να κάνει την "κλήση" το σπίτι αλλά τα ίδια...

[BillyVan]

Θα σου προτεινα οπως εισαι να κανεις 2 κληση pppoe απο το Μικροτικ

και να δεις αν παιζεις οκ.

Εχω κι εγω το ZTE 1600 απο αντικατασταση του Speedport plus και εχω παρατηρησει οτι το firmware ειναι πετσοκομμενο και

με προβληματα.

[sxbcl]

Δηλαδη, ολα τα πακετα φτανουν στο ZTE, αλλα αυτα του 192.168.2.0/24 τα κανεις γκελα πιζω στο ΜΤ? Αυτος ειναι ο λαθος τροπος. Το σωστο ειναι να δινεις (με το dhcp) στους πελατες το καταλληλο route με το option 121/249, ετσι ωστε να τα στελνουν κατευθειαν στο ΜΤ. Δεν ξερω βεβαια αν το ZTE εχει τετοιο feature...

Δεν ειναι εύκολο αυτό στις περισσότερες περιπτώσεις με τα routers των παρόχων. Δεν μπορείς να πειράξεις πολλά στον DHCP server τους, εκτός από το εύρος των διευθύνσεων που θα χρησιμοποιηθούν και ίσως το lease time.

- - - Updated - - -

Θα σου προτεινα οπως εισαι να κανεις 2 κληση pppoe απο το Μικροτικ

και να δεις αν παιζεις οκ.

Εχω κι εγω το ZTE 1600 απο αντικατασταση του Speedport plus και εχω παρατηρησει οτι το firmware ειναι πετσοκομμενο και

με προβληματα.

Πολύ θα το ήθελα, και είμαι σίγουρος ότι θα παίξει, αλλά θα μπλέξω με την τηλεφωνία και επίσης πρέπει να βάλω αλλάξω το MT με ένα που έχει WiFi.
Βασικά τώρα που το σκέφτομαι, η τηλεφωνία δε με νοιάζει καθόλου εκεί, απλά θα αργήσω να πάω για να το κάνω αυτό!

[dalex]

Μπορεις να κλεισεις το dhcp στο ΖΤΕ και να το αναθεσεις στο ΜΤ. Παρακατω ενα link για να μην τρελλαθεις με το υπολογισμο του option 121/249.

https://www.medo64.com/2018/01/confi...-route-option/

Η ενεργοποιησή του ειναι παιχνιδι μολις βρεις το σωστο string. Στην περιπτωσή σου ειναι το 0x00C0A8010118C0A802C0A801FE και η εντολη (οπως την βγαζει το site):

Κώδικας:

/ip dhcp-server option
add code=121 name=classless-static-route-option value=0x00C0A8010118C0A802C0A801FE

Κανεις και ενα copy/paste με option 249 για τα παλια windows. Μετα προσθετεις τα options στο υποδικτυο του LAN.

[deniSun]

Δεν ειναι εύκολο αυτό στις περισσότερες περιπτώσεις με τα routers των παρόχων. Δεν μπορείς να πειράξεις πολλά στον DHCP server τους, εκτός από το εύρος των διευθύνσεων που θα χρησιμοποιηθούν και ίσως το lease time.

Τα router δώσε αν μπορείς.

[sxbcl]

Τα router δώσε αν μπορείς.

Τι εννοείς; Κάπου χάθηκα!

[deniSun]

Τι εννοείς; Κάπου χάθηκα!

Λάθος...
routeS ήθελα να γράψω όχι routeR
ip > routes