Gnacio

Tunel między mikrotikami. Jeden MT za natem

Recommended Posts

Gnacio

Witam.

Na razie mam pytanie odnośnie samej możliwości utworzenia takiego tunelu. W załączniku dodam schemat takiego połączenia, w celu zobrazowania o co chodzi :)

Jedna sieć to Mikrotik C i Mikrotik B. Druga to Mikrotik A. MT B i MT A jest brzegówką. MT C jest za brzegówką. Mam dostęp do MT C i MT A. Do MT B, niestety nie mam dostępu. I czy jest w ogóle możliwości zrobienia tunelu między MT A i MT C bez przekierowania portów lub jakiejkolwiek ingerencji w MT B?

Untitled Diagram.jpg

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
SLX

Oczywiście, na MT A zrób serwer VPN, a na MT C klienta, który się będzie łączył z MT A. Przy założeniu, że A ma publiczny adres a C ma w ogóle dostęp do Internetu przez tego MT B.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
cieplik206

Tak jak pisze SLX, dodam tylko że protokół jaki powinieneś wybrać to PPTP/L2TP+IPSEC/SSTP, (EoIP, IPSEC, IPIP nie zadziałają)

Jeśli masz zamiar przepychać sporo danych z dużą prędkością a router A lub C nie ma wsparcia sprzętowego do szyfrowania wybierz PPTP, ale miej świadomość że nie jest to dzisiaj nie do końca bezpieczna opcja

Jeśli ilość danych nie będzie duża lub routery mają AES hardware acceleration to polecam SSTP bo domyślnie działa na porcie 443 i przejdzie niemalże przez każdego firewall'a. jeśli nie chcesz używać certyfikatów to po stronie klienta SSTP ustaw verify-server-address-from-certificate=no oraz verify-server-certificate=no

Jak docelowo klientem ma być jeszcze jakiś komputer (Win, mac, ios czy linux) to najłatwiejszym rozwiązaniem będzie L2TP+IPSEC

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gnacio

Udało mi się utworzyć na MT A serwer L2TP+IPSEC i na MT C klienta. Dla tunelu nadałem adres 10.0.0.1 i 10.0.0.10 dla klienta. Mogę pingować te adresy, ale nie mogę pingować adresów w sieci lan na MT C. Czy to kwestia reguł? Jeśli tak to po stronie serwera czy klienta?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Janiaking

Brakuje ci zasad routingu w sieciach i maskarady na kliencie. Daj routing do sieci C i odwrotnie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gnacio

Kombinuje z tym i nic. Podpowie ktoś jak ta reguła ma mniej więcej wyglądać?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gnacio

Prawie się udało. Połączenie jest, routing ustawiony. Jednak połączenie co jakiś czas jest zrywane i łączy się od nowa. W logach jest komunikat:

oct/16 23:24:56 ipsec,error phase1 negotiation failed due to time up 89.xx.xx.250

Czasami połączenie jest przez 10min, czasami godzinę, czasami kilka godzin. Od czego może zależeć ten błąd? Gdzie mógłbym szukać przyczyny?

oct/16 23:24:03 l2tp,info first L2TP UDP packet received from 83.xx.xx.70 
oct/16 23:24:08 l2tp,ppp,info,account l2tp_user logged in, 10.0.0.10 
oct/16 23:24:08 l2tp,ppp,info <l2tp-l2tp_user>: authenticated 
oct/16 23:24:10 l2tp,ppp,info <l2tp-l2tp_user>: connected 
oct/16 23:24:56 ipsec,error phase1 negotiation failed due to time up 89.xx.xx.250
[500]<=>83.xx.xx.70[500] acafcbfe1c82a963:0000000000000000 
05:01:20 l2tp,ppp,info <l2tp-l2tp_user>: terminating... - peer is not responding 
05:01:20 l2tp,ppp,info,account l2tp_user logged out, 20232 9085553 11487224 18882 
23883 
05:01:20 l2tp,ppp,info <l2tp-l2tp_user>: disconnected 
05:01:21 ipsec,info purging ISAKMP-SA 89.xx.xx.250[4500]<=>83.xx.xx.70[4500] spi=
4c3bf10b22773385:5106ef5c59f7dce8. 
05:01:21 ipsec,info ISAKMP-SA deleted 89.xx.xx.250[4500]-83.xx.xx.70[4500] spi:4c
3bf10b22773385:5106ef5c59f7dce8 rekey:1 
05:01:22 ipsec,info initiate new phase 1 (Identity Protection): 89.xx.xx.250[500]
<=>83.xx.xx.70[500] 
05:01:34 ipsec,info respond new phase 1 (Identity Protection): 89.xx.xx.250[500]<
=>83.xx.xx.70[1] 
05:01:35 ipsec,info ISAKMP-SA established 89.xx.xx.250[4500]-83.xx.xx.70[4500] sp
i:71e962524abd3e25:c7f8915d3549d2f1 
05:01:37 l2tp,info first L2TP UDP packet received from 83.xx.xx.70 
05:01:43 l2tp,ppp,info,account l2tp_user logged in, 10.0.0.10 
05:01:43 l2tp,ppp,info <l2tp-l2tp_user>: authenticated 
05:01:44 l2tp,ppp,info <l2tp-l2tp_user>: connected 
05:02:22 ipsec,error phase1 negotiation failed due to time up 89.xx.xx.250[500]<=
>83.xx.xx.70[500] da5e8571c9fad485:0000000000000000 

Porty w firewallu oczywiście mam odblokowane - 500, 4500 i 1701 UDP.

Edytowano przez Gnacio

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chcesz dodać odpowiedź ? Zaloguj się lub zarejestruj nowe konto.

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to bardzo łatwy proces!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się