forum.lissyara.su

Доброго времени суток,

Возникла необходимость настроить IPSEC туннель между рутером Cisco и Микротиком. Скажу сразу, к микротику отношусь с презрением. Очень понравилось высказывание в одной статье: "... Ну, что поделать, глюкавости хватает. А чего ещё ждать от коробочки за $60. ...". Увы, иногда не приходится выбирать с чем работать. Ближе к сути.

Настройка прошла достаточно легко, но вот последствия победить пока не получается. После поднятия туннеля, трафик со стороны микротика не ходит до тех пор, пока не подтолкну его со стороны Cisco. Микротик показывает якобы исходящие ESP пакеты, но мэтчей входящих ESP на стороне Cisco не вижу. Склонен верить второму.
Перепробовал разные таймеры и политики.

Подскажите, пожалуйста, у кого-то есть подобная стабильно работающая связка ? Если да, поделитесь, пожалуйста, рабочим конфигом.

Спасибо

Года полтора назад столкнулся с той же проблемой. Со стороны асы туннель поднимается, со стороны микротика нет.
Закончилось всё установкой костыля в виде задания с пингом.
А так пытался играть с версией роутерос, с настройками микротика, но безуспешно.

На самом деле всё намного интереснее...

За это время я успел найти циску аналогичной серии с аналогичным ИОСом. Результаты удивили: О, Чудо, оно работает !!! Микротик поднимает туннель без чужой помощи и любое время дня и ночи.
Пошёл капать дальше...
Далее в проблемной связке пытался поднять простой GRE туннель. Ну, инкапсулируют вроде все одинакого, посему проблем быть не должно. Томить не буду, чуда не произошло. GRE туннель также отказался работать, пока не пнул со стороны циски. Циска находится в колокэйшене, посему скорее всего где-то там что-то происходит, но пока не могу внятно понять что именно. ИОСы одинаковые, провайдер один... ну не может оно просто так не работать !

Мысль о том, что 2ая фаза проходит, а трафика всё нет не давала покоя. РАТ отрабатывал корректно. Появилось подозрение, что на коллокейшене разрешён только icmp/tcp/udp. Меня заверили, что разрешён весь ip. Поставив роутер за NAT, туннель с проблемной циской поднялся моментально. Очередное доказательство того, что UDP трафик проходит, а ESP нет. Рассказав админам коллокейшена о своих "исследованиях", получил неожиданный ответ: "Да, у вас тут разрешён только tcp/udp. Всё, правила поправил. Теперь весь разрешён".
Пробую заветный GRE - работает, IPSEC - работает. Ну сказка просто. Вопрос объявляю закрытым !
Мораль басни: не всегда ошибки в конфигах, несовместимости оборудования (хотя микротик от этого больше уважать не стал) или невнимательности. Не ленитесь размышлять, переделывать, проверять. Успехов !