Mikrotik + Cisco IPSEC

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Mikrotik + Cisco IPSEC

Непрочитанное сообщение gumeniuc » 2014-04-09 11:38:45

Доброго времени суток,

Возникла необходимость настроить IPSEC туннель между рутером Cisco и Микротиком. Скажу сразу, к микротику отношусь с презрением. Очень понравилось высказывание в одной статье: "... Ну, что поделать, глюкавости хватает. А чего ещё ждать от коробочки за $60. ...". Увы, иногда не приходится выбирать с чем работать. Ближе к сути.

Настройка прошла достаточно легко, но вот последствия победить пока не получается. После поднятия туннеля, трафик со стороны микротика не ходит до тех пор, пока не подтолкну его со стороны Cisco. Микротик показывает якобы исходящие ESP пакеты, но мэтчей входящих ESP на стороне Cisco не вижу. Склонен верить второму.
Перепробовал разные таймеры и политики.

Подскажите, пожалуйста, у кого-то есть подобная стабильно работающая связка ? Если да, поделитесь, пожалуйста, рабочим конфигом.

Спасибо
Да шо ему сделается...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

freelncr
проходил мимо
Сообщения: 1
Зарегистрирован: 2014-05-20 12:54:25

Re: Mikrotik + Cisco IPSEC

Непрочитанное сообщение freelncr » 2014-10-17 10:09:02

Года полтора назад столкнулся с той же проблемой. Со стороны асы туннель поднимается, со стороны микротика нет.
Закончилось всё установкой костыля в виде задания с пингом.
А так пытался играть с версией роутерос, с настройками микротика, но безуспешно.

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: Mikrotik + Cisco IPSEC

Непрочитанное сообщение gumeniuc » 2014-10-28 8:37:49

На самом деле всё намного интереснее...

За это время я успел найти циску аналогичной серии с аналогичным ИОСом. Результаты удивили: О, Чудо, оно работает !!! Микротик поднимает туннель без чужой помощи и любое время дня и ночи.
Пошёл капать дальше...
Далее в проблемной связке пытался поднять простой GRE туннель. Ну, инкапсулируют вроде все одинакого, посему проблем быть не должно. Томить не буду, чуда не произошло. GRE туннель также отказался работать, пока не пнул со стороны циски. Циска находится в колокэйшене, посему скорее всего где-то там что-то происходит, но пока не могу внятно понять что именно. ИОСы одинаковые, провайдер один... ну не может оно просто так не работать !
Да шо ему сделается...

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: Mikrotik + Cisco IPSEC

Непрочитанное сообщение gumeniuc » 2014-11-09 19:10:54

Мысль о том, что 2ая фаза проходит, а трафика всё нет не давала покоя. РАТ отрабатывал корректно. Появилось подозрение, что на коллокейшене разрешён только icmp/tcp/udp. Меня заверили, что разрешён весь ip. Поставив роутер за NAT, туннель с проблемной циской поднялся моментально. Очередное доказательство того, что UDP трафик проходит, а ESP нет. Рассказав админам коллокейшена о своих "исследованиях", получил неожиданный ответ: "Да, у вас тут разрешён только tcp/udp. Всё, правила поправил. Теперь весь разрешён".
Пробую заветный GRE - работает, IPSEC - работает. Ну сказка просто. Вопрос объявляю закрытым !
Мораль басни: не всегда ошибки в конфигах, несовместимости оборудования (хотя микротик от этого больше уважать не стал) или невнимательности. Не ленитесь размышлять, переделывать, проверять. Успехов !
Да шо ему сделается...