[megoldva]Routerboard 450g IPSec VPN

Hálózati eszközök

Sziasztok!

A tárgyban szereplő routerből van kettő, amivel site-to-site vpn-t szeretnék beállítani. Használtam is már ezt, de kb fél évig nem volt Internet-hozzáférés az egyik oldalon, amikor pedig újra lett, mindkét oldalon változtak a hálózati beállítások. Eddig is, most is fix külső IP van mindkét oldalon, ha ezek változtak is. Első körben próbáltam a meglévő beállításokat átírni az új paramétereknek megfelelően, de nem működött a dolog. Akkor még a v5.27-es RouterOs volt fenn. Gondoltam újrakonfigolom az egészet, és ha már ezt teszem, upgrade-elek V6-ra. Így is tettem ez alapján. Ezen felül beállítottam néhány tűzfalszabályt még mindkét telephelyen:
-az input chainon beengedtem a 51 (ipsec-ah), 50 (ipsec-esp), protokollokat, az udp 500-as és 4500-as portokat.
-a forwardon kiengedtem az arra jogosult gépeket a másik telephely helyi címtartományába, valamint beengedtem az onnan jövő csomagokat hasonlóképpen.
A gond az, hogy nem ping vissza a túloldal, egyik oldalról próbálkozva sem. A routeren logolom, ha megjelenik a forward chainen a túloldalról csomag. Meg is jelenik (pl. pingnél az icmp csomag), tehát forward accept, de vissza válasz már nincs. Min csúszhatok még el, amiért nem jön válasz? mindkét oldalon a routerek helyi címe a default gw a klienseken, tehát ez sem lehetne gond.
A távoli router helyi címe sem ping vissza. A routeren látom az input chainen, hogy megérkezett a csomag, a szabály rá accept, de válasz nem jön.

( Balooo v | 2015. 05. 26., k – 15:47 )

Helló

route-ok rendben vannak?

mert ha az nincs felvéve, akkor nem tudja, h. merre keresse a másik végpontot...

üdv

Balooo

------------------------

Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)

ez feltétel az IPSec site2site esetén nem?

ezen leírás alapján simán meg tudod csinálni.

SiteA: külső IP: a.a.a.a/32 belső IP: 192.168.1.1/24
SiteB: külső IP: b.b.b.b/32 belső IP: 192.168.2.1/24

A következő dolgokra figyelj:
a) az IPSec tunnel akkor fog felépülni,ha valaki akar forgalmazni.
legegyszerűbben a routerek között tudod ellenőrizni.
ping 192.168.2.1 - nem fog menni!!! ehelyet
ping 192.168.2.1 src-address=192.168.1.1 - ez már igen!

b) a firewall/NAT -ban elöl legyen egy olyan szabály ami megmondja, hogy a site2site VPN másik fele irányában NE legyen NAT (chain=forward src=192.168.1.0/24 dst=192.168.2.0/24 action=accept)

Ha megfigyeled, Én is azt a leírást linkeltem be :)
Mindkét routeren próbáltam a pinget a megadott módon, nincs válasz.
A b) pontban említett natolás is megvan, az elő helyen szerepelnek, van is rajtuk forgalom. Ez azért sem maradt ki, mert benne van a leírásban. Én attól tartok, hogy esetleg valami olyanon csúszok el, ami nincs benne abban a leírásban, hiszen pl. ezen a natoláson kívül nincsen benne említve más tűzfalszabály.

pingnél használsz source IP-t ?
Router alap esetben PUB IP-vel fog próbálkozni, azzal pedig nem nagyon fogsz választ kapni.

mikrotikban van sniffer, másik oldalon sniffeld ICMP csomagokat, nézd meg egyáltalán bele kerül-e csőbe.

Mikrotik IPsec implementáció alapvetően 1xű mint a faék, én személy szerint nem szeretem mikrotik eszközöket, de ár miatt nem kikerülhetőek igy használjuk őket.
Site-to-Site VPN kialakítása a már többször belinkelt doksi alapján 5 perc!, próbáld meg hogy minden "ip firewall *" szabály disabled-re raksz, törlöd a a tunneleket és doksi alapján megcsinálod újra, ha igy nem megy akkor valamit te rontasz el.
Amire figyelni kell "NAT Bypass", ha ez nincsen vagy nem jó helyen van, akkor megfogja NAT-olni tunnelbe szánt csomagokat.

Igen, amikor a routerről próbálkozok, használok source ip-t.
A csőbe bele kell, hogy kerüljön, mert a túloldalon e nélkül nem látszana az első oldali lokális ip-vel csomag.
Igen, az áruk nyomós érv. Kaptunk már 3Com x506 routert is, amit utáltam. Sokat tudott, de többször volt szervizben. A kézikönyve jó volt, részletesen leírta az IPSec-et is, abból tanultam meg.
A NAT bypass megvan, első helyen van, látszik is a csomag találat rajta. Mondjuk az érdekes, hogy ha elindítok egy pinget, csak eggyel növekszik a csomag számláló, bármennyit küld a ping.
Amit még észrevettem, hogy ráadásul nem szimmetrikus a probléma. Bár egyik irányból sem kapok választ, de míg A-ból B-be pingelek, ott legalább megjelenik a csomag a forward chainen, de B-ből A-ba semmi.

én első körben lehúznám a belső hálózatot, törölném az "Installed SA"-kat. Esetleg újraindítanám a routert.
Majd ping az egyikből a másikba. Ha nem megy, akkor ismét "Installed SA"-k törlése, és most ping másikból az egyiket.

Láttam már olyat, hogy csak egyik irányból tudott felépülni a tunnel. (nyalván beállítási hiba volt)

SA-k törlése, vpn kilövése, majd újraindítás is volt már, nem használt.
Az asszimetrikus probléma elgondolkodtatott, hogy esetleg nem is a Routerboardok a hibásak, mivel az egyik oldalon (A), a router egy sulinetes router mögött van, annak egyik publikus portjába dugva, és pont A-ból B-be jutnak el a csomagok, vissza nem. Esetleg ez akaszthatja meg? Mondjuk furcsa lenne, hogy felépül a kapcsolat, és mégis csak egyik irányba átjárható, de kínomban már erre is gondoltam. Nem látok bele annyira az IPSec-be, hogy teljesen kizárhassam.

A publikus szegmens nem natolt.
Probléma megoldva: kiderült, hogy tényleg a sulinetes router beállításaiban volt a probléma. Elvileg ez az oldal tartalmazza az alapértelmezett tűzfalszabályokat egyébként.
A leírásban, ahol a Routerboardra beengedendő portok/protokollok vannak, nem volt említve a gre protokoll. Azt is beállították, meg azokon is állítottak, amiket Én már felvettem a dashboardon.

( dzsambo | 2015. 05. 26., k – 15:51 )

Egy kérdés, minek forwardolsz portokat vpn kapcsolaton belül?

( szollosiimre | 2015. 05. 27., sze – 11:59 )

Proxy-id-k beállításra kerültek? Itt policy-nek hívják.