The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]



"IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Оборудование Lucent, Nortell и др.)
Изначальное сообщение [ Отслеживать ]
Cisco CCNA Routing & Switching версия 3.0 - новые курсы и экзамены
"IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +1 +/
Сообщение от KomaLex (ok) on 27-Апр-16, 06:38 
Есть несколько сетей, нужно их объединить в одну интрасеть. Есть центральный офис, там стоит dlink dsr-1000, есть еще один офис там стоит такой же длинк. Между ними проброше ipsec vpn туннель и все работает нормально, но появилась необходимость подключить к этой интрасети еще один офис, в котором в качестве маршрутизатора стоит mikrotik rb951g-2hnd. Задача подключить его к dlink dsr-1000. Но что то как то не задалось :). Объясню что и как делал, и буду рад если кто нибудь подскажет что не так.

на длинке версия по 2.02ww захожу vpn->ipsec vpn->policies->add new ipsec policy

Дальше ввожу параметры

General
Policy Name ikcpolicy

Policy Type Auto Policy

IP Protocol Version IPv4

IKE Version IKEv1

L2TP Mode None

IPSec Mode Tunnel Mode

Select Local Gateway

Remote Endpoint

IP Address / FQDN
188.168.30.214

Enable Mode Config Disabled

Enable NetBIOS Enabled

Enable RollOver Disabled

Protocol ESP

Enable DHCP Disabled

Local IP

Local Start IP Address
172.22.32.1

Local Subnet Mask
255.255.254.0

Remote IP

Remote Start IP Address
192.168.11.1

Remote Subnet Mask
255.255.255.0

Enable Keepalive Disabled

Phase1(IKE SA Parameters)
Exchange Mode Main

Direction / Type Both

Nat Traversal on

NAT Keep Alive Frequency
20

Local Identifier Type

Remote Identifier Type

Encryption Algorithm
DES OFF 3DES ON

AES-128OFFAES-192OFF

AES-256OFF

BLOWFISH OFF

CAST128 OFF

Authentication Algorithm
MD5ONSHA-1OFF

SHA2-256OFFSHA2-384OFF

SHA2-512OFF

Authentication Method Pre-Shared key

Pre-Shared Key Devopengl19820520

Diffie-Hellman (DH) Group Group 2 (1024 bit)

SA-Lifetime 28800

Enable Dead Peer Detection Disabled

Extended Authentication None








Phase2-(Auto Policy Parameters)
SA Lifetime 3600 Seconds

Encryption Algorithm

DES OFFNONE OFF

3DES ONAES-128 OFF

AES-192 OFFAES-256 OFF

AES-CCM OFFAES-GCM OFF

TWOFISH (128) OFFTWOFISH (192) OFF

TWOFISH (256) OFF

BLOWFISH OFF

CAST128 OFF

Integrity Algorithm
MD5 ONSHA-1 OFF

SHA2-224 OFFSHA2-256 OFF

SHA2-384 OFFSHA2-512 OFF

PFS Key Group Disabled

Дальше настраиваю микротик вот по этой статье, там правда с циской. но разницы же не должно быть:

https://habrahabr.ru/post/151951/

Но трафик почему то все равно не идет. Самое что интересное, микротик пишет что подключен. А длинк пишет что нет. Подскажите куда копать, где можно посмотреть ошибку по которой не проходит подключение.


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +/
Сообщение от KomaLex (ok) on 27-Апр-16, 07:32 
Вот что пишется в логах у длинка:

Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: Failed to get matching proposal for xxx.xxx.xxx.214[500].
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: No suitable proposal found for xxx.xxx.xxx.214[500].
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Beginning Identity Protection mode.
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: For xxx.xxx.xxx.214[500], Selected NAT-T version: RFC 3947
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Received request for new phase 1 negotiation: xxx.xxx.xxx.66[500]<=>xxx.xxx.xxx.214[500]

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +/
Сообщение от KomaLex (ok) on 27-Апр-16, 07:40 
на микротике в логах пишет следующее

07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500] 8d8f07105dda216d:0000000000000000  

подскажите что не так?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  –1 +/
Сообщение от ShyLion (ok) on 27-Апр-16, 09:59 
> подскажите что не так?

*Сарказм*

Выбросить все это говно и поставить нормальные роутеры марки по названию форума.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +/
Сообщение от KomaLex (ok) on 27-Апр-16, 10:08 
>> подскажите что не так?
> *Сарказм*
> Выбросить все это говно и поставить нормальные роутеры марки по названию форума.

вариант хороший, но по бюджету неприемлемый.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +/
Сообщение от Сергей (??) on 27-Апр-16, 10:22 
> на микротике в логах пишет следующее
>
 
> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
> 8d8f07105dda216d:0000000000000000
>

> подскажите что не так?

сделай tcpdump старта туннеля (сначала с одной стороны, потом с другой) и сравни proposals.
пишут что они не совпадают - может так и есть? :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +/
Сообщение от KomaLex (ok) on 27-Апр-16, 10:34 
>> на микротике в логах пишет следующее
>>
 
>> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
>> 8d8f07105dda216d:0000000000000000
>>

>> подскажите что не так?
> сделай tcpdump старта туннеля (сначала с одной стороны, потом с другой) и
> сравни proposals.
> пишут что они не совпадают - может так и есть? :)

И как это сделать? Еще что странно, так точно не должно быть. на владке:

ip->ipsec->installed SAs и auth algorithm И encript algorithm пишет none

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +/
Сообщение от KomaLex (ok) on 27-Апр-16, 11:07 
длинк стал другое писать в логах:

Wed Apr 27 08:05:10 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Responding to new phase 2 negotiation: xxx.xxx.xxx.66[0]<=>xxx.xxx.xxx.214[0]
Wed Apr 27 08:05:20 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: Failed to get IPsec SA configuration for: xxx.xxx.xxx.66/32[500]<->xxx.xxx.xxx.214/32[500] from 188.168.30.214/32[500]

Вроде бы как микротик не отдает конфигурацию, но почему? там вроде все настроено.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +/
Сообщение от KomaLex (ok) on 28-Апр-16, 04:37 
В общем и целом проблему удалось победить частично. Туннель поднялся, просто натраиваешь политику ipsec добавляешь ipsec peer и все работает, но не сразу а после перезагрузки длинка. Это довольно странно, потому что на стороне длинка в логах пишет про установленное соединение и без перезагрузки, а микротик не создается SA, как будто не видит ничего. Ну это ладно, после перезагрузки все начинает работать. Но в таком режиме не создается интерфейс для ipsec туннеля. А у меня за длинком не одна сеть и я не могу туда смршратизировать другую подсеть.
а если создавать интефейс через interfaces->ip tunel то он создается, соответственно в ipsec автоматом создается политика и автоматом создается peer, но оно не работает, потому что там видимо параметры автоматом создаются неправильные, а менять их там нельзя почему то. Соответственно в таком режиме канал не поднимается.
нашел статейку, там в качестве решения предлагается объединить все подсети за шлюзом в одну и на нее настроить политику, но у меня так не получится потому что подсети из разных классов.
Может кто боролся с такой проблемой, подскажите куда копать. Может как то можно при создании интерфейса через командную строку указать все параметры.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"  +/
Сообщение от varney email on 09-Фев-18, 17:24 
> на микротике в логах пишет следующее
>
 
> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
> 8d8f07105dda216d:0000000000000000
>

> подскажите что не так?

время синхронизируйте.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor