Доброго времени суток,
Возникла необходимость настроить IPSEC туннель между рутером Cisco и Микротиком. Скажу сразу, к микротику отношусь с презрением. Очень понравилось высказывание в одной статье: "... Ну, что поделать, глюкавости хватает. А чего ещё ждать от коробочки за $60. ...". Увы, иногда не приходится выбирать с чем работать. Ближе к сути.
Настройка прошла достаточно легко, но вот последствия победить пока не получается. После поднятия туннеля, трафик со стороны микротика не ходит до тех пор, пока не подтолкну его со стороны Cisco. Микротик показывает якобы исходящие ESP пакеты, но мэтчей входящих ESP на стороне Cisco не вижу. Склонен верить второму.
Перепробовал разные таймеры и политики.
Подскажите, пожалуйста, у кого-то есть подобная стабильно работающая связка ? Если да, поделитесь, пожалуйста, рабочим конфигом.
Спасибо
Mikrotik + Cisco IPSEC
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Mikrotik + Cisco IPSEC
Да шо ему сделается...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2014-05-20 12:54:25
Re: Mikrotik + Cisco IPSEC
Года полтора назад столкнулся с той же проблемой. Со стороны асы туннель поднимается, со стороны микротика нет.
Закончилось всё установкой костыля в виде задания с пингом.
А так пытался играть с версией роутерос, с настройками микротика, но безуспешно.
Закончилось всё установкой костыля в виде задания с пингом.
А так пытался играть с версией роутерос, с настройками микротика, но безуспешно.
- gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Re: Mikrotik + Cisco IPSEC
На самом деле всё намного интереснее...
За это время я успел найти циску аналогичной серии с аналогичным ИОСом. Результаты удивили: О, Чудо, оно работает !!! Микротик поднимает туннель без чужой помощи и любое время дня и ночи.
Пошёл капать дальше...
Далее в проблемной связке пытался поднять простой GRE туннель. Ну, инкапсулируют вроде все одинакого, посему проблем быть не должно. Томить не буду, чуда не произошло. GRE туннель также отказался работать, пока не пнул со стороны циски. Циска находится в колокэйшене, посему скорее всего где-то там что-то происходит, но пока не могу внятно понять что именно. ИОСы одинаковые, провайдер один... ну не может оно просто так не работать !
За это время я успел найти циску аналогичной серии с аналогичным ИОСом. Результаты удивили: О, Чудо, оно работает !!! Микротик поднимает туннель без чужой помощи и любое время дня и ночи.
Пошёл капать дальше...
Далее в проблемной связке пытался поднять простой GRE туннель. Ну, инкапсулируют вроде все одинакого, посему проблем быть не должно. Томить не буду, чуда не произошло. GRE туннель также отказался работать, пока не пнул со стороны циски. Циска находится в колокэйшене, посему скорее всего где-то там что-то происходит, но пока не могу внятно понять что именно. ИОСы одинаковые, провайдер один... ну не может оно просто так не работать !
Да шо ему сделается...
- gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Re: Mikrotik + Cisco IPSEC
Мысль о том, что 2ая фаза проходит, а трафика всё нет не давала покоя. РАТ отрабатывал корректно. Появилось подозрение, что на коллокейшене разрешён только icmp/tcp/udp. Меня заверили, что разрешён весь ip. Поставив роутер за NAT, туннель с проблемной циской поднялся моментально. Очередное доказательство того, что UDP трафик проходит, а ESP нет. Рассказав админам коллокейшена о своих "исследованиях", получил неожиданный ответ: "Да, у вас тут разрешён только tcp/udp. Всё, правила поправил. Теперь весь разрешён".
Пробую заветный GRE - работает, IPSEC - работает. Ну сказка просто. Вопрос объявляю закрытым !
Мораль басни: не всегда ошибки в конфигах, несовместимости оборудования (хотя микротик от этого больше уважать не стал) или невнимательности. Не ленитесь размышлять, переделывать, проверять. Успехов !
Пробую заветный GRE - работает, IPSEC - работает. Ну сказка просто. Вопрос объявляю закрытым !
Мораль басни: не всегда ошибки в конфигах, несовместимости оборудования (хотя микротик от этого больше уважать не стал) или невнимательности. Не ленитесь размышлять, переделывать, проверять. Успехов !
Да шо ему сделается...