Есть несколько сетей, нужно их объединить в одну интрасеть. Есть центральный офис, там стоит dlink dsr-1000, есть еще один офис там стоит такой же длинк. Между ними проброше ipsec vpn туннель и все работает нормально, но появилась необходимость подключить к этой интрасети еще один офис, в котором в качестве маршрутизатора стоит mikrotik rb951g-2hnd. Задача подключить его к dlink dsr-1000. Но что то как то не задалось :). Объясню что и как делал, и буду рад если кто нибудь подскажет что не так.на длинке версия по 2.02ww захожу vpn->ipsec vpn->policies->add new ipsec policy
Дальше ввожу параметры
General
Policy Name ikcpolicy
Policy Type Auto Policy
IP Protocol Version IPv4
IKE Version IKEv1
L2TP Mode None
IPSec Mode Tunnel Mode
Select Local Gateway
Remote Endpoint
IP Address / FQDN
188.168.30.214
Enable Mode Config Disabled
Enable NetBIOS Enabled
Enable RollOver Disabled
Protocol ESP
Enable DHCP Disabled
Local IP
Local Start IP Address
172.22.32.1
Local Subnet Mask
255.255.254.0
Remote IP
Remote Start IP Address
192.168.11.1
Remote Subnet Mask
255.255.255.0
Enable Keepalive Disabled
Phase1(IKE SA Parameters)
Exchange Mode Main
Direction / Type Both
Nat Traversal on
NAT Keep Alive Frequency
20
Local Identifier Type
Remote Identifier Type
Encryption Algorithm
DES OFF 3DES ON
AES-128OFFAES-192OFF
AES-256OFF
BLOWFISH OFF
CAST128 OFF
Authentication Algorithm
MD5ONSHA-1OFF
SHA2-256OFFSHA2-384OFF
SHA2-512OFF
Authentication Method Pre-Shared key
Pre-Shared Key Devopengl19820520
Diffie-Hellman (DH) Group Group 2 (1024 bit)
SA-Lifetime 28800
Enable Dead Peer Detection Disabled
Extended Authentication None
Phase2-(Auto Policy Parameters)
SA Lifetime 3600 Seconds
Encryption Algorithm
DES OFFNONE OFF
3DES ONAES-128 OFF
AES-192 OFFAES-256 OFF
AES-CCM OFFAES-GCM OFF
TWOFISH (128) OFFTWOFISH (192) OFF
TWOFISH (256) OFF
BLOWFISH OFF
CAST128 OFF
Integrity Algorithm
MD5 ONSHA-1 OFF
SHA2-224 OFFSHA2-256 OFF
SHA2-384 OFFSHA2-512 OFF
PFS Key Group DisabledДальше настраиваю микротик вот по этой статье, там правда с циской. но разницы же не должно быть:
https://habrahabr.ru/post/151951/
Но трафик почему то все равно не идет. Самое что интересное, микротик пишет что подключен. А длинк пишет что нет. Подскажите куда копать, где можно посмотреть ошибку по которой не проходит подключение.
Вот что пишется в логах у длинка:
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: Failed to get matching proposal for xxx.xxx.xxx.214[500].
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: No suitable proposal found for xxx.xxx.xxx.214[500].
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Beginning Identity Protection mode.
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: For xxx.xxx.xxx.214[500], Selected NAT-T version: RFC 3947
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Received request for new phase 1 negotiation: xxx.xxx.xxx.66[500]<=>xxx.xxx.xxx.214[500]
на микротике в логах пишет следующее
07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500] 8d8f07105dda216d:0000000000000000подскажите что не так?
> подскажите что не так?*Сарказм*
Выбросить все это говно и поставить нормальные роутеры марки по названию форума.
>> подскажите что не так?
> *Сарказм*
> Выбросить все это говно и поставить нормальные роутеры марки по названию форума.вариант хороший, но по бюджету неприемлемый.
> на микротике в логах пишет следующее
>
> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
> 8d8f07105dda216d:0000000000000000
>
> подскажите что не так?сделай tcpdump старта туннеля (сначала с одной стороны, потом с другой) и сравни proposals.
пишут что они не совпадают - может так и есть? :)
>> на микротике в логах пишет следующее
>>
>> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
>> 8d8f07105dda216d:0000000000000000
>>
>> подскажите что не так?
> сделай tcpdump старта туннеля (сначала с одной стороны, потом с другой) и
> сравни proposals.
> пишут что они не совпадают - может так и есть? :)И как это сделать? Еще что странно, так точно не должно быть. на владке:
ip->ipsec->installed SAs и auth algorithm И encript algorithm пишет none
длинк стал другое писать в логах:
Wed Apr 27 08:05:10 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Responding to new phase 2 negotiation: xxx.xxx.xxx.66[0]<=>xxx.xxx.xxx.214[0]
Wed Apr 27 08:05:20 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: Failed to get IPsec SA configuration for: xxx.xxx.xxx.66/32[500]<->xxx.xxx.xxx.214/32[500] from 188.168.30.214/32[500]Вроде бы как микротик не отдает конфигурацию, но почему? там вроде все настроено.
В общем и целом проблему удалось победить частично. Туннель поднялся, просто натраиваешь политику ipsec добавляешь ipsec peer и все работает, но не сразу а после перезагрузки длинка. Это довольно странно, потому что на стороне длинка в логах пишет про установленное соединение и без перезагрузки, а микротик не создается SA, как будто не видит ничего. Ну это ладно, после перезагрузки все начинает работать. Но в таком режиме не создается интерфейс для ipsec туннеля. А у меня за длинком не одна сеть и я не могу туда смршратизировать другую подсеть.
а если создавать интефейс через interfaces->ip tunel то он создается, соответственно в ipsec автоматом создается политика и автоматом создается peer, но оно не работает, потому что там видимо параметры автоматом создаются неправильные, а менять их там нельзя почему то. Соответственно в таком режиме канал не поднимается.
нашел статейку, там в качестве решения предлагается объединить все подсети за шлюзом в одну и на нее настроить политику, но у меня так не получится потому что подсети из разных классов.
Может кто боролся с такой проблемой, подскажите куда копать. Может как то можно при создании интерфейса через командную строку указать все параметры.
> на микротике в логах пишет следующее
>
> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
> 8d8f07105dda216d:0000000000000000
>
> подскажите что не так?время синхронизируйте.