Mikrotik IPSec + Dlink

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vinitan
проходил мимо
Сообщения: 1
Зарегистрирован: 2015-10-08 10:40:31

Mikrotik IPSec + Dlink

Непрочитанное сообщение vinitan » 2015-10-08 10:47:13

Добрый день.
Вопрос посвящен гуру микротиков.
У меня есть в офисе Mikrotik Cloud Core Router CCR1009-8G-1S-1S+. Его мы поставим взамен Dlink который не справляется с нагрузкой.
Dlink сейчас выполняет роль сервера VPN. Канал организован по средствами IPSec. Всего сейчас подключено более 300 каналов. Каждый канал соединяет центральный офис с удаленным офисом. В центральном офисе (Там где стоит это все железо) сеть 192.168.0.0/24. В каждом удаленном офисе своя подсеть к примеру 192.168.101.2/29 и так далее. Всего получается 300 подсетей. У нас есть белый адрес в офисе и часть удаленных офисов так же имеет белые адреса, но не все.

Задача такая:
При помощи IPSec поднять соединения с роутеров в удаленных офисах к роутеру Mikrotik Cloud Core Router CCR1009-8G-1S-1S в нашем офисе. Важно то что бы не менять все 300 настроек на удаленных роутерах. В удаленных офисах стоят в основном Dlink dir140l.
Проще говоря необходимо в центральном офисе заменить длинк на микротик и это сделать безболезненно.
Сейчас я настроил на Mikrotik IPSec и настроил Dlink dir140l на подключение по IPSec. Длинки конечно сложно было настроить так как в интернете нет мануалов по поводу этого для настройки под микротик.
В общем соединение есть IPSec работает но беда в том что не ходят пинки из сети 192.168.0.0/24 в сеть удаленного офиса 192.168.101.224/29.

Ниже настройки Mikrotik которые я произвел для поднятия IPSec:

Сеть центральный офис:
LAN 192.168.0.0/24
Subnet Mask 255.255.255.0
WAN белый IP

Сеть удаленный офис:
LAN 192.168.108.224/29
Subnet Mask 255.255.255.248
WAN белый IP

Код: Выделить всё

/ip firewall filter remove [find comment=to_192.168.108.224/29]
/ip firewall filter add src-address=ОФИС_УДАЛЕННЫЙ action=accept chain=input comment=to_192.168.108.224/29
/ip firewall filter add dst-address=ОФИС_УДАЛЕННЫЙ action=accept chain=output comment=to_192.168.108.224/29
/ip firewall filter add src-address=192.168.108.224/29 action=accept chain=forward comment=to_192.168.108.224/29
/ip firewall filter add dst-address=192.168.108.224/29 action=accept chain=forward comment=to_192.168.108.224/29
/ip firewall filter move [find comment=to_192.168.108.224/29] 0

/ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.108.224/29 action=accept chain=srcnat comment=to_192.168.108.224/29
/ip firewall nat move [find comment=to_192.168.108.224/29] 0


/ip ipsec peer remove [find address=ОФИС_УДАЛЕННЫЙ/32]
/ip ipsec peer add address=ОФИС_УДАЛЕННЫЙ/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="qwerty" generate-policy=no policy-template-group=group1 exchange-mode=main send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=des dh-group=modp768 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5


/ip ipsec proposal remove [find name=ОФИС_УДАЛЕННЫЙ]
/ip ipsec proposal add  name="default" auth-algorithms=md5 enc-algorithms=des lifetime=8h pfs-group=modp768

/ip ipsec policy remove [find dst-address=192.168.108.224/29]
/ip ipsec policy add  src-address=192.168.0.0/24 src-port=any dst-address=192.168.108.224/29 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=ОФИС_ЦЕНТРАЛЬНЫЙ sa-dst-address=ОФИС_УДАЛЕННЫЙ proposal=default priority=0
Подскажите как заставить одну сеть видеть другую сеть? И обратно. Сейчас пинги не ходят.

Как быть с теми удаленными офиса где будет серый IP?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Mikrotik IPSec + Dlink

Непрочитанное сообщение gumeniuc » 2015-10-10 12:07:39

vinitan писал(а): Mikrotik Cloud Core Router CCR1009-8G-1S-1S+.
Не знаю как сейчас, но не так давно микротик использовал для шифрования / дешифрования только одно ядро. Т.е. даже если у него их 36, то гонять через IPSEC нормальный трафик было нереально.
vinitan писал(а): Длинки конечно сложно было настроить так как в интернете нет мануалов по поводу этого для настройки под микротик.
IPSEC он и в Африке IPSEC. Принцип работы на любом оборудовании одинаковый.
vinitan писал(а): В общем соединение есть IPSec работает
Вы в этом уверены ?
Меня терзают смутные сомнения (с), у Вас точно политики 1ой фазы совпадают ? что-то настройки уж больно странные.
vinitan писал(а): Подскажите как заставить одну сеть видеть другую сеть? И обратно. Сейчас пинги не ходят.
На Микротике откройте icmp трафик во все направления ( ничего страшного не случится ).
Выложите скрины настроек Dlink.
vinitan писал(а): Как быть с теми удаленными офиса где будет серый IP?
Адреса динамические ?
Да шо ему сделается...