Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

IPSec tunnel problem, ping izmedju tikova

[es] :: Wireless :: Mikrotik :: IPSec tunnel problem, ping izmedju tikova

[ Pregleda: 3810 | Odgovora: 15 ] > FB > Twit

Postavi temu Odgovori

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
31.176.186.*

ICQ: 166070540


+8 Profil

icon IPSec tunnel problem, ping izmedju tikova09.01.2013. u 08:06 - pre 137 meseci
Pozdrav radni narode. Molio bih vas za malu pomoc. Naime, imam 2 RB-a, Jedan je RB750, a drugi RB2011. Izmedju njih sam napravio IPSec tunnel, i LAN-ovi iza tih routera se medjusobno vide. Zasto sa jednog tika ne mogu pingati LAN interfejs drugog tika niti bilo koji IP iz LAN-a drugog tika, i obrnuto?
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 6279

Sajt: pedja.supurovic.net


+1570 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova09.01.2013. u 09:24 - pre 137 meseci
Moraš dati više detalja.

Jesi li podesio rutiranje za te dve mreže?

http://pedja.supurovic.net - http://wireless.uzice.net - Besplatni .RS domeni - Mikrotik uputstva - YT9TP - OpenStreetMap Srbija
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
31.176.186.*

ICQ: 166070540


+8 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova09.01.2013. u 10:41 - pre 137 meseci
jesam podesio i route, i to ovako:

RB2011: LAN IP 192.168.10.1/27
RB750: ima 4 LAN interfejsa, sa IP-ovima: 10.10.5.1/25, 10.10.5.129/26, 10.10.5.193/26 i 10.10.6.1/27

na RB2011 sam odradio routing mark sa dst-addess=10.10.4.0/22 (kako bih obuhvatio i 10.10.5.0 i 10.10.6.0) i taj routing mark prikacio na routu koja ima za dst-address 10.10.4.0/22, kao gateway je stavljen pppoe client interfejs prema ISP-u.
na RB750 sam odradio routing mark sa dst-addess=192.168.10.0/27, i taj routing mark nalijepio na routu koja ima za dst-addess=192.168.10.0/27, kao gateway je stavljen pppoe client interfejs prema ISP-u.
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

sdurut
Mašinski šloser

Član broj: 76787
Poruke: 673



+66 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova12.01.2013. u 21:39 - pre 137 meseci
Meni nista nije jasno na osnovu dva posta koja si postavio. Da li si uopste nekada podizao IPSec tunel izmedju dva rutera MT- MT ili MT - CISCO PIX. IPsec rutiranje radi preko polisa a ne mangle i kojekakve egzibicije koje pokusavas da upotrebis. Da li korists preshare key ili setrifikat za IPSEC? Sta si podesio za parametre tunela AH-ESP SHA ili MD5 has koja Diffe-Hilfman duzina kljuca, DES, 3DES, AES ekniprcija? Kod IPsec nema nista da se radi na pipanje ili metodom uzaludnih pokusaja. Ako nisu tacno podesene polise, Proposals i peers na jednoj i drugoj strani MT tunela kao u ogledalu, nece se podici tunel i ping nece prolaziti. I naravno jos jedno vazno upozorenje na firewallu moras dodati jednu ili vise accept rula da to masquarade ne uhvati paket i neode preko pppoe na net umesto da uleti u IPSEC tunel. Accept rule moraju biti pre masquarade na oba rutera !
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova13.01.2013. u 00:04 - pre 137 meseci
Ako te ne mrzi pročitaj ovaj članak http://rajco.me/blog/2012/08/mikrotik-vpn-ipsec/ pa vidi da li si isto uradio.
rajco.me/blog
 
Odgovor na temu

zivanicd
Dejan Zivanic
KLADOVONET ISP
Kladovo

Član broj: 137218
Poruke: 1129
*.zivanic.com.

Sajt: www.kladovo.net


+139 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova13.01.2013. u 14:27 - pre 137 meseci
Jel si ti podesio IPSec ili si podesio PPTP/L2TP tunel ?

Iz tvoj posta mi deluje da zelis jednostavno resenje za povezivanje dve lokacije, a to mozes lako da sredis sa PPTP/L2TP tunelom i jednostavnim rutiranjem.

::www.kladovo.net ::
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
31.176.155.*

ICQ: 166070540


+8 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova15.01.2013. u 12:27 - pre 137 meseci
Svima se zahvaljujem na odgovorima. Podesavanja na routerima prate uputstvo koje je dao kolega rajco. Na RB750 imam samo jedan izlaz na net, preko PPPoE clienta koji dobija javnu IP. kad odradim ping sa tog RB750 prema RB2011, paket stigne samo do Nework adrese na ppppoe clientu, i dalje se gubi. Evo rezultata trace komande sa RB750 prema 8.8.8.8:



# ADDRESS RT1 RT2 RT3 STATUS
1 172.16.11.53 22ms 20ms 35ms
2 10.60.34.1 13ms 15ms 14ms
3 10.14.1.1 11ms 18ms 20ms
4 109.105.201.42 15ms 27ms 14ms
5 109.105.201.46 16ms 15ms 27ms
6 77.74.231.77 18ms 23ms 29ms
7 10.8.8.1 27ms 19ms 17ms
8 77.74.231.101 16ms 24ms 27ms
9 195.29.241.161 38ms 43ms 39ms
10 195.29.3.190 53ms 31ms 40ms
11 195.29.110.218 51ms 55ms 47ms
12 209.85.243.121 59ms 44ms 46ms
13 72.14.234.11 63ms 65ms 60ms <MPLS:L=339488,E=4>
14 209.85.254.118 76ms 93ms 57ms
15 0.0.0.0 0ms 0ms 0ms
16 8.8.8.8 83ms 80ms 80ms


a evo rezultata iste komande prema ip adresi LAN interfejsa na RB2011:


# ADDRESS RT1 RT2 RT3 STATUS
1 172.16.11.53 11ms 10ms 7ms
2 0.0.0.0 0ms 0ms 0ms
3 0.0.0.0 0ms 0ms 0ms
4 172.16.11.53 6ms 1ms 2ms host unreachable
5 0.0.0.0 0ms 0ms 0ms
6 0.0.0.0 0ms 0ms 0ms
7 172.16.11.53 34ms 0ms 0ms host unreachable
8 172.16.11.53 0ms 3ms 3ms host unreachable
9 0.0.0.0 0ms 0ms 0ms
10 172.16.11.53 10ms 1ms 2ms host unreachable
11 0.0.0.0 0ms 0ms 0ms
12 0.0.0.0 0ms 0ms 0ms
13 172.16.11.53 18ms 0ms 0ms host unreachable
14 172.16.11.53 0ms 14ms 2ms host unreachable
15 0.0.0.0 0ms 0ms 0ms

U cemu je fazon? Izgleda mi kao da paketi prema LAN-u drugog routera uopste ne "putuju" tunelom :D
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova15.01.2013. u 12:50 - pre 137 meseci
Izvezi nam konfiguraciju:
Code:
export compact

Ili deo koji je bitan za ovu temu i stavi u code tagove.
Code:
ip ipsec export compact

Code:
ip route export compact

Ovo uradi na oba rutera.
rajco.me/blog
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
31.176.155.*

ICQ: 166070540


+8 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova15.01.2013. u 14:04 - pre 137 meseci
RB2011:

Code:

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des,aes-128 pfs-group=modp768
/ip ipsec peer
add address=109.105.213.X/32 comment=stszav dh-group=modp768 dpd-interval=disable-dpd \
    dpd-maximum-failures=1 secret=987654321
/ip ipsec policy
add dst-address=10.10.4.0/22 sa-dst-address=109.105.213.X sa-src-address=31.176.129.Y src-address=\
    192.168.10.0/27 tunnel=yes


Code:

/ip route
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend !check-ga
    distance=1 gateway=10.10.10.1 !route-tag routing-mark=RDC
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend !check-ga
    distance=1 gateway=ADSL_pppoe !route-tag routing-mark=AMIKO
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping distance=1 !route-tag routing-mark=stszav type=unreachable
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping distance=1 gateway=10.10.10.1 !route-tag routing-mark=PC2
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping distance=1 gateway=10.10.10.1 !route-tag routing-mark=Ostalo
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping distance=1 gateway=ADSL_pppoe !route-tag routing-mark=MojaTVSamsung
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping distance=1 gateway=10.10.10.1 !route-tag routing-mark=Samsung
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping distance=1 gateway=31.176.128.1 !route-tag routing-mark=Kolins_SVE
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping distance=10 gateway=10.10.10.1 !route-tag routing-mark=naDUAL
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping distance=10 gateway=31.176.128.1 !route-tag routing-mark=naADSL
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend check-gat
    ping comment=DefaultRouta distance=1 gateway=31.176.128.1 !route-tag !routing-mark


Code:

 #   ADDRESS            NETWORK         INTERFACE                                                                          
 0   192.168.10.1/27    192.168.10.0    Ethernet1_LAN                                                                      
 1   192.168.1.2/24     192.168.1.0     Ethernet7_ADSL                                                                     
 2   10.10.10.2/29      10.10.10.0      Ethernet6_DUALBA                                                                   
 3 D 31.176.129.Y/32   31.176.128.1    ADSL_pppoe   



RB750:

Code:

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=aes-128 pfs-group=modp768
/ip ipsec peer
add address=31.176.129.Y/32 comment=kolinsadsl dh-group=modp768 dpd-interval=disable-dpd dpd-maximum-failures=1 secret=987654321
/ip ipsec policy
add dst-address=192.168.10.0/27 sa-dst-address=31.176.129.Y sa-src-address=109.105.213.X src-address=10.10.4.0/22 tunnel=yes



Code:

/ip route
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend !check-gateway distance=1 \
    gateway=stszav_cutuk !route-tag !routing-mark


Code:

#   ADDRESS            NETWORK         INTERFACE                                                                                           
 0   ;;; ADMINISTRACIJA MREZA
     10.10.6.1/27       10.10.6.0       Ethernet2_ADMINISTRACIJA                                                                            
 1   ;;; APovi_MREZA
     10.10.5.193/26     10.10.5.192     Ethernet5_APovi                                                                                     
 2   ;;; KANBINET 1 MREZA
     10.10.5.129/26     10.10.5.128     Ethernet4_KAB1                                                                                      
 3   ;;; KABINETI 2 I 9 MREZA
     10.10.5.1/25       10.10.5.0       Ethernet3_KAB2_9                                                                                    
 4 X 192.168.100.2/24   192.168.100.0   Ethernet5_APovi                                                                                     
 5 D 109.105.213.X/32  172.16.11.53    stszav_cutuk      


route sam sve obrisao, jer nisam nasao ni u jednom tutorialu na netu, da route treba podesavati uopste, bar kad je u pitanju ping s mikrotika na mikrotik, s cim ja zapravo i imam problem. pokusao sam nesto izvoditi sa markiranjima, ali bez uspjeha :(



MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova15.01.2013. u 15:14 - pre 137 meseci
I ne trebaju ti rute da bi radilo, ali sam hteo da vidim da nisi nešto podešavao što ne bi trebalo. Na brzinu sam pogledao pa mi samo reci par stvari. Što ne probaš za početak sa default podešavanjima ipsec-a, bez menjanja DPD-a, Diffie–Hellman grupe.
edit:
E sad vidim da ti nemaš javnu ip adresu na drugoj strani, tu je problem.
rajco.me/blog
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
212.39.125.*

ICQ: 166070540


+8 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova15.01.2013. u 15:33 - pre 137 meseci
Kako mislis da nemam javnu ip adresu? na RB750 postoji javna ip adresa na stszav_cutuk(109.105.213.X), a na RB2011 koji je kod mene kuci imam 2 konekcije ka 2 ISP-a, jedna od konekcija je ADSL_pppoe, i tu je javna IP adresa (31.176.129.Y), a na drugog ISP-a izlazim preko 10.10.10.1/29. RB2011 ima default routu preko ADSL_pppoe interfejsa, odnosno preko 31.176.128.1 sto je telecomov gateway, i IPSec tunel bi se trebao uspostaviti kroz ADSL_pppoe, tako da je u tom dijelu sve OK.
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova15.01.2013. u 17:46 - pre 137 meseci
Koji ti je internet stszav_cutuk(109.105.213.X)? Pretpostavljam neki wifi? Po onome što sam video rekao bih da si tu nat-ovan i nemaš javnu adresu, na to sam mislio, ispravi me ako grešim.
rajco.me/blog
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
212.39.125.*

ICQ: 166070540


+8 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova15.01.2013. u 19:35 - pre 137 meseci
Da, u pitanju je WiFi ISP. Kod njih je neki od hopova od RB750 do izlaza na net imaju adrese iz privatnog opsega, sto se moze vidjeti iz rezultata tracert komande. Hostname tog RB750 je stszav.dvrdns.org. taj host se uredno resolvuje u 109.105.213.28 adresu koju imam na stszav_cutuk pppoe client interfejsu, i pristupam tiku s vana preko te adrese. mozes provjeriti. kao sto rekoh. komunikacija izmedju LAN-ova radi, ali ping s RB750 na RB2011 ne prolazi, i obrnuto isto tako. ja od kuce (tj. iza RB2011) imam uredan ping prema LANu iza tog RB750. Da sam natovan i nemam javnu ip adresu kao sto tvrdis (ne znam kakva je onda adresa 109.105.213.28 ako nije javna), ne bih imao ni komunikaciju izmedju LAN-ova, zar ne?
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
212.39.125.*

ICQ: 166070540


+8 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova15.01.2013. u 21:13 - pre 137 meseci
Rjesenje "problema" je i vise nego glupo. Prilikom pinga, nisam birao ulazni interfejs, tj. LAN interfejs cccccc svo vrijeme sam mislio da ce mikrotik interfejs odabrati sam automatski :(
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova16.01.2013. u 06:47 - pre 137 meseci
Joj, to sam prvo pomislio, ali reko sigurno si video u tutorijalu da moraš odabrati interfejs i nisam pominjao.

Naravno da je 109.105.213.x javna adresa, ali sam mislio da si natovan iz podataka u poslednjem postu(kada si dao celu adresu onda sam video da ipak imaš pravu javnu adresu, pa je sada možeš obrisati ako ti je to sporno), nisam izgleda sve pročitao detaljno, a i jedan deo mi je bio konfuzan da nisam ni znao da li se tebi ostvaruje ipsec tunel, pa sam hteo da te pitam i da pošalješ ss installed SAs taba, kao i da uključiš logovanje za ipsec. Kada je sa jedne strane dhcp klijent drugačija su podešavanja pa sam pomislio da je to.
rajco.me/blog

Prikačeni fajlovi
image57.jpg image57.jpg - 125.84k
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
31.176.184.*

ICQ: 166070540


+8 Profil

icon Re: IPSec tunnel problem, ping izmedju tikova16.01.2013. u 07:00 - pre 137 meseci
Sada je sve OK :) ping prolazi iz jednog LANa u drugi LAN i obrnuto, a i sa RB750 na RB2011 i obrnuto :) koristio sam PPTP takodjer, ali sam imao problem u brzini izmedju tikova. RB750 ima upload od 1,5Mbps, ali ja nisam mogao izvuci ni pola od toga. Sad PPTP koristim samo za externe konekcije, ukoliko s laptopa ili smartphone-a trebam pristup LANu, a i nekako mi IPSec tunnel izgleda prirodnija varijanta za site to site povezivanje.
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: IPSec tunnel problem, ping izmedju tikova

[ Pregleda: 3810 | Odgovora: 15 ] > FB > Twit

Postavi temu Odgovori

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.