forum.opennet.ru - "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" (9)

"IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"

Форум Маршрутизаторы CISCO и др. оборудование. (Оборудование Lucent, Nortell и др.)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+1 +/–
Сообщение от KomaLex (ok) on 27-Апр-16, 06:38
Есть несколько сетей, нужно их объединить в одну интрасеть. Есть центральный офис, там стоит dlink dsr-1000, есть еще один офис там стоит такой же длинк. Между ними проброше ipsec vpn туннель и все работает нормально, но появилась необходимость подключить к этой интрасети еще один офис, в котором в качестве маршрутизатора стоит mikrotik rb951g-2hnd. Задача подключить его к dlink dsr-1000. Но что то как то не задалось :). Объясню что и как делал, и буду рад если кто нибудь подскажет что не так. на длинке версия по 2.02ww захожу vpn->ipsec vpn->policies->add new ipsec policy Дальше ввожу параметры General Policy Name ikcpolicy Policy Type Auto Policy IP Protocol Version IPv4 IKE Version IKEv1 L2TP Mode None IPSec Mode Tunnel Mode Select Local Gateway Remote Endpoint IP Address / FQDN 188.168.30.214 Enable Mode Config Disabled Enable NetBIOS Enabled Enable RollOver Disabled Protocol ESP Enable DHCP Disabled Local IP Local Start IP Address 172.22.32.1 Local Subnet Mask 255.255.254.0 Remote IP Remote Start IP Address 192.168.11.1 Remote Subnet Mask 255.255.255.0 Enable Keepalive Disabled Phase1(IKE SA Parameters) Exchange Mode Main Direction / Type Both Nat Traversal on NAT Keep Alive Frequency 20 Local Identifier Type Remote Identifier Type Encryption Algorithm DES OFF 3DES ON AES-128OFFAES-192OFF AES-256OFF BLOWFISH OFF CAST128 OFF Authentication Algorithm MD5ONSHA-1OFF SHA2-256OFFSHA2-384OFF SHA2-512OFF Authentication Method Pre-Shared key Pre-Shared Key Devopengl19820520 Diffie-Hellman (DH) Group Group 2 (1024 bit) SA-Lifetime 28800 Enable Dead Peer Detection Disabled Extended Authentication None Phase2-(Auto Policy Parameters) SA Lifetime 3600 Seconds Encryption Algorithm DES OFFNONE OFF 3DES ONAES-128 OFF AES-192 OFFAES-256 OFF AES-CCM OFFAES-GCM OFF TWOFISH (128) OFFTWOFISH (192) OFF TWOFISH (256) OFF BLOWFISH OFF CAST128 OFF Integrity Algorithm MD5 ONSHA-1 OFF SHA2-224 OFFSHA2-256 OFF SHA2-384 OFFSHA2-512 OFF PFS Key Group Disabled Дальше настраиваю микротик вот по этой статье, там правда с циской. но разницы же не должно быть: https://habrahabr.ru/post/151951/ Но трафик почему то все равно не идет. Самое что интересное, микротик пишет что подключен. А длинк пишет что нет. Подскажите куда копать, где можно посмотреть ошибку по которой не проходит подключение.
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, KomaLex, 07:32 , 27-Апр-16, (1)

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, KomaLex, 07:40 , 27-Апр-16, (2)

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, ShyLion, 09:59 , 27-Апр-16, (3) –1

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, KomaLex, 10:08 , 27-Апр-16, (4)

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, Сергей, 10:22 , 27-Апр-16, (5)

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, KomaLex, 10:34 , 27-Апр-16, (6)

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, KomaLex, 11:07 , 27-Апр-16, (7)

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, KomaLex, 04:37 , 28-Апр-16, (8)

IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000, varney, 17:24 , 09-Фев-18, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" +/–

Сообщение от KomaLex (ok) on 27-Апр-16, 07:32

Вот что пишется в логах у длинка:

Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: Failed to get matching proposal for xxx.xxx.xxx.214[500].
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: No suitable proposal found for xxx.xxx.xxx.214[500].
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Beginning Identity Protection mode.
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: For xxx.xxx.xxx.214[500], Selected NAT-T version: RFC 3947
Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Received request for new phase 1 negotiation: xxx.xxx.xxx.66[500]<=>xxx.xxx.xxx.214[500]

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" +/–

Сообщение от KomaLex (ok) on 27-Апр-16, 07:40

на микротике в логах пишет следующее

07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500] 8d8f07105dda216d:0000000000000000
подскажите что не так?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" –1 +/–

Сообщение от ShyLion (ok) on 27-Апр-16, 09:59

> подскажите что не так?
*Сарказм*
Выбросить все это говно и поставить нормальные роутеры марки по названию форума.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" +/–

Сообщение от KomaLex (ok) on 27-Апр-16, 10:08

>> подскажите что не так?
> *Сарказм*
> Выбросить все это говно и поставить нормальные роутеры марки по названию форума.
вариант хороший, но по бюджету неприемлемый.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" +/–

Сообщение от Сергей (??) on 27-Апр-16, 10:22

> на микротике в логах пишет следующее
>

> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
> 8d8f07105dda216d:0000000000000000
>

> подскажите что не так?
сделай tcpdump старта туннеля (сначала с одной стороны, потом с другой) и сравни proposals.
пишут что они не совпадают - может так и есть? :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" +/–

Сообщение от KomaLex (ok) on 27-Апр-16, 10:34

>> на микротике в логах пишет следующее
>>

>> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
>> 8d8f07105dda216d:0000000000000000
>>

>> подскажите что не так?
> сделай tcpdump старта туннеля (сначала с одной стороны, потом с другой) и
> сравни proposals.
> пишут что они не совпадают - может так и есть? :)
И как это сделать? Еще что странно, так точно не должно быть. на владке:
ip->ipsec->installed SAs и auth algorithm И encript algorithm пишет none

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" +/–

Сообщение от KomaLex (ok) on 27-Апр-16, 11:07

длинк стал другое писать в логах:

Wed Apr 27 08:05:10 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Responding to new phase 2 negotiation: xxx.xxx.xxx.66[0]<=>xxx.xxx.xxx.214[0]
Wed Apr 27 08:05:20 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: Failed to get IPsec SA configuration for: xxx.xxx.xxx.66/32[500]<->xxx.xxx.xxx.214/32[500] from 188.168.30.214/32[500]
Вроде бы как микротик не отдает конфигурацию, но почему? там вроде все настроено.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" +/–

Сообщение от KomaLex (ok) on 28-Апр-16, 04:37

В общем и целом проблему удалось победить частично. Туннель поднялся, просто натраиваешь политику ipsec добавляешь ipsec peer и все работает, но не сразу а после перезагрузки длинка. Это довольно странно, потому что на стороне длинка в логах пишет про установленное соединение и без перезагрузки, а микротик не создается SA, как будто не видит ничего. Ну это ладно, после перезагрузки все начинает работать. Но в таком режиме не создается интерфейс для ipsec туннеля. А у меня за длинком не одна сеть и я не могу туда смршратизировать другую подсеть.
а если создавать интефейс через interfaces->ip tunel то он создается, соответственно в ipsec автоматом создается политика и автоматом создается peer, но оно не работает, потому что там видимо параметры автоматом создаются неправильные, а менять их там нельзя почему то. Соответственно в таком режиме канал не поднимается.
нашел статейку, там в качестве решения предлагается объединить все подсети за шлюзом в одну и на нее настроить политику, но у меня так не получится потому что подсети из разных классов.
Может кто боролся с такой проблемой, подскажите куда копать. Может как то можно при создании интерфейса через командную строку указать все параметры.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000" +/–

Сообщение от varney on 09-Фев-18, 17:24

> на микротике в логах пишет следующее
>

> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500]
> 8d8f07105dda216d:0000000000000000
>

> подскажите что не так?
время синхронизируйте.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+/–
Сообщение от KomaLex (ok) on 27-Апр-16, 07:32
Вот что пишется в логах у длинка: Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: Failed to get matching proposal for xxx.xxx.xxx.214[500]. Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: No suitable proposal found for xxx.xxx.xxx.214[500]. Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Beginning Identity Protection mode. Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: For xxx.xxx.xxx.214[500], Selected NAT-T version: RFC 3947 Wed Apr 27 04:24:38 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Received request for new phase 1 negotiation: xxx.xxx.xxx.66[500]<=>xxx.xxx.xxx.214[500]
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+/–
	Сообщение от KomaLex (ok) on 27-Апр-16, 07:40
	на микротике в логах пишет следующее 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500] 8d8f07105dda216d:0000000000000000 подскажите что не так?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	–1 +/–
	Сообщение от ShyLion (ok) on 27-Апр-16, 09:59
	> подскажите что не так? Сарказм Выбросить все это говно и поставить нормальные роутеры марки по названию форума.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+/–
	Сообщение от KomaLex (ok) on 27-Апр-16, 10:08
	>> подскажите что не так? > Сарказм > Выбросить все это говно и поставить нормальные роутеры марки по названию форума. вариант хороший, но по бюджету неприемлемый.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+/–
	Сообщение от Сергей (??) on 27-Апр-16, 10:22
	> на микротике в логах пишет следующее > > 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500] > 8d8f07105dda216d:0000000000000000 > > подскажите что не так? сделай tcpdump старта туннеля (сначала с одной стороны, потом с другой) и сравни proposals. пишут что они не совпадают - может так и есть? :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+/–
	Сообщение от KomaLex (ok) on 27-Апр-16, 10:34
	>> на микротике в логах пишет следующее >> >> 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500] >> 8d8f07105dda216d:0000000000000000 >> >> подскажите что не так? > сделай tcpdump старта туннеля (сначала с одной стороны, потом с другой) и > сравни proposals. > пишут что они не совпадают - может так и есть? :) И как это сделать? Еще что странно, так точно не должно быть. на владке: ip->ipsec->installed SAs и auth algorithm И encript algorithm пишет none
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+/–
	Сообщение от KomaLex (ok) on 27-Апр-16, 11:07
	длинк стал другое писать в логах: Wed Apr 27 08:05:10 2016 (GMT +0000): [DSR-1000] [IKE] INFO: Responding to new phase 2 negotiation: xxx.xxx.xxx.66[0]<=>xxx.xxx.xxx.214[0] Wed Apr 27 08:05:20 2016 (GMT +0000): [DSR-1000] [IKE] ERROR: Failed to get IPsec SA configuration for: xxx.xxx.xxx.66/32[500]<->xxx.xxx.xxx.214/32[500] from 188.168.30.214/32[500] Вроде бы как микротик не отдает конфигурацию, но почему? там вроде все настроено.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+/–
	Сообщение от KomaLex (ok) on 28-Апр-16, 04:37
	В общем и целом проблему удалось победить частично. Туннель поднялся, просто натраиваешь политику ipsec добавляешь ipsec peer и все работает, но не сразу а после перезагрузки длинка. Это довольно странно, потому что на стороне длинка в логах пишет про установленное соединение и без перезагрузки, а микротик не создается SA, как будто не видит ничего. Ну это ладно, после перезагрузки все начинает работать. Но в таком режиме не создается интерфейс для ipsec туннеля. А у меня за длинком не одна сеть и я не могу туда смршратизировать другую подсеть. а если создавать интефейс через interfaces->ip tunel то он создается, соответственно в ipsec автоматом создается политика и автоматом создается peer, но оно не работает, потому что там видимо параметры автоматом создаются неправильные, а менять их там нельзя почему то. Соответственно в таком режиме канал не поднимается. нашел статейку, там в качестве решения предлагается объединить все подсети за шлюзом в одну и на нее настроить политику, но у меня так не получится потому что подсети из разных классов. Может кто боролся с такой проблемой, подскажите куда копать. Может как то можно при создании интерфейса через командную строку указать все параметры.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "IPSec vpn туннель между mikrotik rb951g-2hnd и dlink dsr-1000"	+/–
	Сообщение от varney on 09-Фев-18, 17:24
	> на микротике в логах пишет следующее > > 07:38:02 ipsec,error phase1 negotiation failed due to time up 188.168.30.214[500]=>195.206.54.66[500] > 8d8f07105dda216d:0000000000000000 > > подскажите что не так? время синхронизируйте.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору