How to set up 2x Mikrotik ipsec in different branches?

H

Hardyn2016-08-17 15:39:54

Mikrotik

Hardyn, 2016-08-17 15:39:54

There is a couple of mikrotik, it is not possible to configure ipseс
wiki.mikrotik.com/wiki/Manual:IP/IPsec
using the manual does not come out, possibly due to the fact that 1 of the mikrotik is located behind the router in the 2nd branch
, although on that router even when the rules are disabled and nat is enabled nothing happens, please send an
example config.
there can be a problem in the provider in particular Yota white ip? I’ve been struggling with a modem with stick firmware
for a week already, and 1 of the modems reflashed from the kit from partners yota pings the second no
edited ________
having brainwashed
flashing the firmware into the stick our modem E3272S_Update_21.491.05.00.00_M1_01
pings
with this hemorrhoid of course, you need to create an l2tp connection to lower mtu packets to 1300
set up the encryption correctly
did not connect the first time the
current errors that were constantly poured into the disconnect
deleted the filtering rules
at the moment it does not see the local network,
i.e. the connection is established between the routers, but they are transmitted only one way from the server to the branch
.
I think the problem is in the routes now I will understand-
-----------
edited
Hello everyone again, in general, nothing worked with l2tp ipsec connects does not see the branch
's LAN decided to try out ovpn- the connection appeared immediately but, BUT! routing does not work, the same problem as with l2tp,
only pings do not go, the branch address was received from the server pool, where to go next

Reply

Answer the question

In order to leave comments, you need to log in

2 answer(s)

C

CityCat4, 2016-08-18
@CityCat4 Куратор тега Сетевое администрирование

На самом деле дока по IPSec у микротика довольно бестолковая - например того, что хэш SHA256 не работает ни с чем кроме другого микротика, там не отражено.
Подьем туннелей на IPSec - имеется в виду "чистный" IPSec, а не L2TP/IPSec - их обычно путают состоит из нескольких этапов.
1. Создание "предложения" на каждом микротике - это такой корявый перевод термина proposal. В proposal указываются методы шифрования, хэши и группы Диффи-Хеллмана, которые могу применяться при согласовании параметров. Крайне важно, чтобы оба микротика нашли хотя бы один общий алгоритм шифрования и хэш, и чтобы группы Диффи-Хеллмана совпадали! Здесь же указывается время жизни второй фазы, после чего будет повторный "быстрый" обмен ключами.
2. Создание политики на каждом микротике, которая определяет, что собственно говоря будет шифроваться и что с этим шифрованным контентом делать. Здесь указываются виртуальные маршрутизируемые подсетки, адреса реальных концов туннеля, метод шифрования, используемый proposal
3. Создание удаленного подключения (peer), которое задает многое множество параметров. Здесь указывается IP и порт удаленной стороны, метод аутентификации, метод первичного обмена ключами - базовый или агрессивный, необходимость NAT Travesal (если один из микротиков за натом), проверку proposal, алгоритмы хэша и шифрования, группы Диффи-Хеллмана, время жизни первой фазы, необходимость DPD. Если аутентификация по сертификатам - указывают имена сертификатов, которые должны быть к этому времени уже импортированы. Если аутентификация по ключам - указывают значение ключа.
Если устройство само не инициирует установление туннеля, ставится флаг пассивности, иначе сразу после создания Peer-а, микротик начинает к нему долбиться. Если что-то не так - включите логирование. В микротике используется racoon, поэтому лог там ракуновский, strongswan-а нет, поддержки IKEv2 нет.

�

Клёвый Админ, 2016-08-17
@ifaustrue

Вы хотите слишком много телепатии.
Покажите ваши конфиги, поправить их будет куда проще. Если у вас есть в схеме NAT включите соотв опцию nat-traversal=yes, а из вашей статьи ориентируйтесь на часть под названием "Ipsec/L2TP behind NAT" там всё очень просто.
*Если роутер провайдерский, он может блокировать туннели или ipsec. Такое редко, но случается.