mikrotik VPN ipsec динамические ip клиентов

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение strelokr » 2013-06-10 13:36:11

помогите с такой проблемой. Поднимаю vpn ipsec сервер. ранее эти функции выполнял Dlink DI-804HV.
Микротик в качестве клиента этой системы показал себя нормально.
Сейчас вопрос подменить этот центральный длинк на микротик.
Столкнулся с такой проблемой
создаю ip peer

Код: Выделить всё

  address.0.0.0/0 port=500 auth-methodre-shared-key secret="12345678"
     generate-policy=no exchange-mode=main send-initial-contact=yes
     nat-traversal=no my-id-user-fqdn="" proposal-checkbey
     hash-algorithm=sha1 enc-algorithm=3des dh-group=modp768 lifetime=1d
     lifebytes dpd-interval=2m dpd-maximum-failures=5
так же политики для каждой удаленной сети (длинк сам поднимал)

Код: Выделить всё

вот такой тунель src-address=192.168.0.0/21 src-port=any dst-address=192.168.112.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=y.y.y.y sa-dst-address=0.0.0.0
где y.y.y.y мой белый ip
так же пропускаю траффик

Код: Выделить всё

 chain=srcnat action=accept src-address=192.168.0.0/21 dst-address=192.168.112.0/22 out-interface=vlan1711

В результате подымается тунель с той стороны и вижу 3 installet-sa

Код: Выделить всё

0 E  spi src-address=y.y.y.y dst-address.0.0.0 auth-algorithm=none
      enc-algorithm=none replay state=larval add-lifetimes/30s
 
1 E spi=0x2010010 src-address=y.y.y.y dst-address=z.z.z.z
      auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature
      auth-key="sss"
      enc-key="fff"
      addtime=jun/10/2013 12:42:47 expires-in=7h41m33s add-lifetime=6h24m/8h
      current-bytes=240
 
 
2 E  spixDBEA2D2 src-address=z.z.z.z dst-address=y.y.y.y
      auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature
      auth-key="sss"
      enc-key="fff"
      addtime=jun/10/2013 12:42:47 expires-in=7h41m33s add-lifetime=6h24m/8h
      current-bytes=3376

Причина в том что я в политиках в sa- dst address указал нули, т.е. я не знаю куда пойдет ответный трафик. Но как только я указываю существующий ip (в примере z.z.z.z) то трафик через туннель проходит отлично.
Как одолеть? может подставлять каким то скриптом.

strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

Re: mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение strelokr » 2013-06-11 8:36:47

трудоемкое но решение
скрипт который достает из дднс имени удаленного пира ап адрес и вставляет его в нужную политику

Код: Выделить всё

:local newIP [:resolve "lanlan12.zapto.org"];
:local lan12 [/ip ipsec policy get 4 sa-dst-address];
/log info "newip = $newIP";
/log info "currentip = $lan12";
:if ($newIP != $lan12) do={
/log info "ip is $lan12 not $newIP";
/ip ipsec policy set 3 sa-dst-address=$newIP;
}

strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

Re: mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение strelokr » 2013-06-11 12:17:43

допущена печатка нужно
/ip ipsec policy set 4 sa-dst-address=$newIP;

strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

Re: mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение strelokr » 2013-06-12 13:10:34

Свежие версии скриптов.

Код: Выделить всё

/log info "start Pobug";
{
:local newip [:resolve "lanlan25.zapto.org"];
:local curip [/ip ipsec policy get [/ip ipsec policy find comment=Pobug] sa-dst-address];
/log info "newip = $newip";
/log info "currentip = $curip";
:if ($newip != $curip) do={
/log info "ip Pobug is $curip not $newip";
/ip ipsec policy set [/ip ipsec policy find comment=Pobug] sa-dst-address=$newip;
}
}
/log info "end Pobug";

И скрипт который подставляет на удаленной стороне текущий ip в политику

Код: Выделить всё

:global lastip
:local wanip
:local wanif "pppoe-out1"

:if ([ :typeof $lastip ] = nil ) do={ :global lastip "0" }

:local wanip [ /ip address get [/ip address find interface=$wanif ] address ]

:if  ([ :typeof $wanip ] = nil ) do={
:log info ("WANIP: no ip address on $wanif  .")
} else= {

:for i from=( [:len $wanip] - 1) to=0 do={
:if ( [:pick $wanip $i] = "/") do={
:set wanip [:pick $wanip 0 $i];
:log info ("wan ip now is $wanip")
}
}

:if ($wanip != $lastip) do={
:log info ("Renew ipsec Policy: $wanif -> $wanip")

#Подставляем в политику  ipsec

/ip ipsec policy set 0  sa-src-address=$wanip
:global lastip $wanip
}
}


strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

Re: mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение strelokr » 2013-06-12 13:20:41

Так еще более красивее.

Код: Выделить всё

:local nname pobug;

:log info  "start $nname";

:local newip [:resolve "lanlan69.zapto.org"];

:local curip [/ip ipsec policy get [/ip ipsec policy find comment=$nname] sa-dst-address];

:log info "newip = $newip";

:log info "currentip = $curip";

:if ($newip != $curip) do={

:log info "ip $nname is $curip not $newip";

/ip ipsec policy set [/ip ipsec policy find comment=$nname] sa-dst-address=$newip;

:log info "end $nname";
}

Аватара пользователя
ADRE
майор
Сообщения: 2633
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение ADRE » 2013-06-12 18:48:13

круто, ыозьмму себе =-) как раз надо =)))
--
только айписек микротик - микротик проще строил...
//del

strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

Re: mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение strelokr » 2013-06-13 10:42:14

Подскажите как. проще в моей ситуации? Буду только рад.

strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

Re: mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение strelokr » 2013-06-13 10:49:40

Как на микротике обновлять No-ip.com Сервис описано тут
http://wiki.mikrotik.com/wiki/Dynamic_DNS_Update_Script_for_No-IP_DNS

tankistua
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-08-30 13:21:12

mikrotik VPN ipsec динамические ip клиентов

Непрочитанное сообщение tankistua » 2015-04-12 23:02:57

появилось
ip -> cloud

ddns от микротика, в качестве имени применяется серийный номер железки. например так 555a053565f8.sn.mynetname.net


Вернуться в «Активное сетевое оборудование»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя