VPN между филиалами (продолжение)

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

VPN между филиалами (продолжение)

Сообщение LazyFisher » 26 дек 2016, 13:03

Здравствуйте.
Хотел настроить сквозной VPN по такой схеме:


https://1drv.ms/i/s!AtyzTWOrCTLJcBlYAzYQjqX19_c

Руководствуясь статьей (спасибо Михаилу):
http://www.alliedtelesis.com/sites/defa ... meshed.pdf
настроил.
Конфиг роутера в HeadOffice:


Код: Выделить всё
set system name="HeadOffice"

# PPP templates configuration
create ppp template=1
set ppp template=1 bap=off ippool="myippool" authentication=chap mssheader=120 echo=30

# L2TP configuration
enable l2tp
enable l2tp server=lac
add l2tp call="RemOff01" ip=89.x.x.x ty=virtual prec=out
add l2tp ip=1.1.1.1-255.255.255.254 ppptemplate=1

# PPP configuration
create ppp=0 over=tnl-RemOff01 authentication=none password=xxxxxxxxxx username=RemOff01 echo=on lqr=off idle=off mru=1460

# IP configuration
enable ip
enable ip remote
add ip int=vlan1 ip=192.168.1.1
set ip int=vlan1 dir=yes
add ip int=eth0 ip=82.y.y.y mask=255.255.255.248
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=82.y.y.y-1
add ip rou=192.168.64.0 mask=255.255.255.0 int=ppp0 next=0.0.0.0
add ip dns prim=d.d.d.d seco=dd.dd.dd.dd

create ip pool="myippool" ip=192.168.66.10-192.168.66.15



# INT configuration
set int=ppp0 mtu=1460

# Firewall configuration
enable fire
create firewall policy="main"
create firewall policy="main" dy=dynamic
add firewall policy="main" dy=dynamic us=ANY
#enable firewall policy="main" icmp_f=ping
enable firewall policy="main" ICMP_Forwarding=ALL
add firewall policy="main" int=ppp0 type=private
add firewall policy="main" int=vlan1 type=private
add firewall policy="main" int=dyn-dynamic type=private
add firewall policy="main" int=eth0 type=public
add firewall poli="main" nat=enhanced int=ppp0 gblin=eth0
add firewall poli="main" nat=enhanced int=vlan1 gblin=eth0
add firewall poli="main" nat=enhanced int=dyn-dynamic gblin=eth0
add firewall poli="main" ru=1 ac=allo int=eth0 prot=udp po=500 ip=82.y.y.y gblip=82.y.y.y gblp=500
add firewall poli="main" ru=2 ac=allo int=eth0 prot=udp po=4500 ip=82.y.y.y gblip=82.y.y.y gblp=4500

add firewall poli="main" ru=3 ac=non int=eth0 prot=ALL ip=192.168.0.1-192.168.255.254 enc=ips

add firewall poli="main" ru=4 ac=non int=vlan1 prot=ALL ip=192.168.0.1-192.168.255.254 rem=192.168.0.1-192.168.255.254

# IPSEC configuration
create ipsec sas=1 key=isakmp prot=esp enc=aes128 hasha=sha mod=transport
create ipsec sas=2 key=isakmp prot=esp enc=aes128 hasha=sha

create ipsec bund=1 key=isakmp string="1"
create ipsec bund=2 key=isakmp string="2" expirys=3600

create ipsec pol="isakmp" int=eth0 ac=permit lport=500 rport=500

create ipsec pol="RemOff01" int=eth0 ac=ipsec key=isakmp bund=1 peer=89.x.x.x isa="RemOff01"
set ipsec pol="RemOff01" lad=82.y.y.y rad=89.x.x.x usepfsk=TRUE

create ipsec pol="RemOff02" int=eth0 ac=ipsec key=isakmp bund=2 peer=212.z.z.z isa="RemOff02"
set ipsec pol="RemOff02" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.16.0 rma=255.255.255.0 respondbadspi=TRUE


create ipsec pol="internet" int=eth0 ac=permit
enable ipsec

# ISAKMP configuration
create isakmp pol="RemOff01" pe=89.x.x.x enc=aes128 key=1

create isakmp pol="RemOff02" pe=212.z.z.z enc=aes128 key=1 natt=true
set isakmp pol="RemOff02" expirys=28800 gro=2 sendd=true sendn=true hear=BOTH

enable isakmp


("подружить" Microtic c AT удалось только таким образом)

В итоге картина следующая:
VPN Headoffice - RemOff01 работает в обе стороны
VPN Headoffice - RemOff02 работает в обе стороны
VPN RemOff01 - RemOff02 работает только в одну сторону (из RemOff02 в RemOff01), обратно не работает.
то есть,

пакеты ходят:
192.168.64.0 <-> 192.168.1.0
192.168.16.0 <-> 192.168.1.0
192.168.16.0 -> 192.168.64.0

Пакеты не ходят:
192.168.16.0 <- 192.168.64.0
Трасса показывает, что пакеты, приходящие с 192.168.64.х на AR750S(который в сети 192.168.1.0) с него улетают в интернет.

Ну и в журнале 750-го в HeadOffice при попытке заняться IPSEC-ом наблюдаю такие сообщения:
Inbound ESP packet discarded: src 89.x.x.x dst 82.y.y.y spi 74d778e3 seqNum 225148 policy action fail
...
Outbound packet: src 82.y.y.y dst 89.x.x.x no bundle - queued
Exchange 1: Payload malformed: bad padding
Exchange 1: Completed successfully

Прошу помощи у гуру.
LazyFisher
 
Сообщения: 17
Зарегистрирован: 17 сен 2008, 19:29

Re: VPN между филиалами (продолжение)

Сообщение DenM » 26 дек 2016, 17:22

Первое что хочется уточнить: у вас есть мобильные клиенты L2TP или все ради Микротика ?
LazyFisher писал(а):Трасса показывает, что пакеты, приходящие с 192.168.64.х на AR750S(который в сети 192.168.1.0) с него улетают в интернет.

Вероятно забыли добавить:
Код: Выделить всё
    add firewall poli="main" ru=5 ac=non int=ppp0 prot=ALL ip=192.168.0.1-192.168.255.254 rem=192.168.0.1-192.168.255.254

Если Микротик не создает ответный L2TP-канал, что возможно глядя на конфиг.

LazyFisher писал(а):Outbound packet: src 82.y.y.y dst 89.x.x.x no bundle - queued

Конфиг Микрота не помешает. И дебаг ISAKMP Телесина, для начала.
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: VPN между филиалами (продолжение)

Сообщение LazyFisher » 26 янв 2017, 14:33

Да, спасибо. Действительно не хватало этого правила.
По совету старших товарищей решил избавиться от "зоопарка" - вместо микрота купил ещё один 750-й теперь вроде-бы всё нормально работает, смущает только один момент: в головном офисе журал телесина забит вот такими сообщениями:
...
26 14:25:31 5 IPSE IPSC MSG Unable to resolve 0.0.0.0 to DNS Name; lookup required to match isakmp/IPsec policy
26 14:25:32 5 IPSE IPSC MSG Unable to resolve 0.0.0.0 to DNS Name; lookup required to match isakmp/IPsec policy
26 14:25:35 5 IPSE IPSC MSG Unable to resolve 0.0.0.0 to DNS Name; lookup required to match isakmp/IPsec policy
26 14:25:35 5 IPSE IPSC MSG Unable to resolve 0.0.0.0 to DNS Name; lookup required to match isakmp/IPsec policy
...
При этом, ещё раз говорю, все VPN-ы работают, все всех видят.
Что это может значить?
LazyFisher
 
Сообщения: 17
Зарегистрирован: 17 сен 2008, 19:29

Re: VPN между филиалами (продолжение)

Сообщение DenM » 26 янв 2017, 21:26

LazyFisher писал(а):26 14:25:32 5 IPSE IPSC MSG Unable to resolve 0.0.0.0 to DNS Name; lookup required to match isakmp/IPsec policy

Похоже что-то по части LOCALID/REMOTEID в ISAKMP.
Приведите актуальный конфиг ISAKMP+IPSEC.

Фаерволл рано или поздно вас замучает...
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: VPN между филиалами (продолжение)

Сообщение LazyFisher » 27 янв 2017, 10:35

Конфиг IPSEC/ISAKMP головного офиса (внешний IP 89.w.w.w, внутр. IP 192.168.64.1) :

Код: Выделить всё
# IPSEC configuration
create ipsec sas=0 key=isakmp prot=esp enc=3desouter hasha=sha antir=true
create ipsec bund=0 key=isakmp string="0" expirys=3600
create ipsec pol="eth0allowISAKMP" int=eth0 ac=permit lp=500 tra=UDP
create ipsec pol="eth0allowISAKMPF" int=eth0 ac=permit lp=4500

create ipsec pol="RemOff1" int=eth0 ac=ipsec key=isakmp bund=0 peer=46.x.x.x isa="RemOff1"
set ipsec pol="RemOff1" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.32.0 rma=255.255.255.0 respondbadspi=TRUE

create ipsec pol="RemOff2" int=eth0 ac=ipsec key=isakmp bund=0 peer=188.y.y.y isa="RemOff2"
set ipsec pol="RemOff2" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.1.0 rma=255.255.255.0 respondbadspi=TRUE

create ipsec pol="RemOff3" int=eth0 ac=ipsec key=isakmp bund=0 peer=212.z.z.z isa="RemOff3"
set ipsec pol="RemOff3" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.16.0 rma=255.255.255.0 respondbadspi=TRUE

create ipsec pol="eth0allow" int=eth0 ac=permit
enable ipsec

# ISAKMP configuration
create isakmp pol="RemOff1" pe=46.x.x.x enc=3desouter key=2 natt=true localid="192.168.64.1" remoteid="192.168.32.1"
set isakmp pol="RemOff1" expirys=28800 gro=2 sendd=true sendn=true hear=BOTH

create isakmp pol="RemOff2" pe=188.y.y.y enc=3desouter key=2 natt=true localid="192.168.64.1" remoteid="192.168.1.1"
set isakmp pol="RemOff2" expirys=28800 gro=2 sendd=true sendn=true hear=BOTH

create isakmp pol="RemOff3" pe=212.z.z.z enc=3desouter key=2 natt=true localid="192.168.64.1" remoteid="192.168.16.1"
set isakmp pol="RemOff3" expirys=28800 gro=2 sendd=true sendn=true hear=BOTH

enable isakmp


Конфиг IPSEC/ISAKMP одного из удалённых офисов - RemOff2 (внешний IP 188.y.y.y, внутр. IP 192.168.1.1) (RemOff1,3 аналогичны):

Код: Выделить всё
# IPSEC configuration
create ipsec sas=0 key=isakmp prot=esp enc=3desouter hasha=sha antir=true
create ipsec bund=0 key=isakmp string="0" expirys=3600
create ipsec pol="eth0allowISAKMP" int=eth0 ac=permit lp=500 tra=UDP
create ipsec pol="eth0allowISAKMPF" int=eth0 ac=permit lp=4500
create ipsec pol="RemOff2" int=eth0 ac=ipsec key=isakmp bund=0 peer=89.w.w.w isa="RemOff2"
set ipsec pol="RemOff2" lad=192.168.1.0 lma=255.255.255.0 rad=192.168.0.0 rma=255.255.0.0 respondbadspi=TRUE

create ipsec pol="eth0allow" int=eth0 ac=permit
enable ipsec

# ISAKMP configuration
create isakmp pol="RemOff2" peer=89.w.w.w enc=3desouter key=2 natt=true expirys=28800 gro=2 localid="192.168.1.1" remoteid="192.168.64.1"
set isakmp pol="RemOff2" sendd=true sendn=true hear=BOTH
enable isakmp
LazyFisher
 
Сообщения: 17
Зарегистрирован: 17 сен 2008, 19:29

Re: VPN между филиалами (продолжение)

Сообщение DenM » 27 янв 2017, 13:50

Код: Выделить всё
    create isakmp pol="RemOff2" pe=188.y.y.y enc=3desouter key=2 natt=true localid="192.168.64.1" remoteid="192.168.1.1"

Если это копия из файла конфига (а не show config), попробуйте убрать localid и remoteid.
peer ведь разные, что позволяет идентифицировать туннель.
И м.б. стоит 3DES сменить на AES128 ибо он в общем случае быстрее.
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: VPN между филиалами (продолжение)

Сообщение LazyFisher » 27 янв 2017, 13:57

Убрать localid и remoteid пробовал - никакого эффекта.
По поводу 3DES согласен, но ничего не изменит (кроме скорости)
LazyFisher
 
Сообщения: 17
Зарегистрирован: 17 сен 2008, 19:29

Re: VPN между филиалами (продолжение)

Сообщение DenM » 27 янв 2017, 14:06

Код: Выделить всё
add ip dns pri=xxx

Присутствует ?
NATT вам, к стати тоже ни к чему. Но и это не про ошибку...
Последний раз редактировалось DenM 27 янв 2017, 14:52, всего редактировалось 6 раз(а).
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: VPN между филиалами (продолжение)

Сообщение LazyFisher » 27 янв 2017, 14:12

Да, и prim и seco, провайдерские. Иначе интернет бы не работал.
LazyFisher
 
Сообщения: 17
Зарегистрирован: 17 сен 2008, 19:29

Re: VPN между филиалами (продолжение)

Сообщение DenM » 27 янв 2017, 14:25

М.б. "мусор" на рутер прилетает ? Не знаю.
Включить дебаг IPSEC и посмотреть с каких IP что сыплется.
Других мыслей нет. :(
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: VPN между филиалами (продолжение)

Сообщение LazyFisher » 27 янв 2017, 14:37

Сейсас попробую. А дальше что? К провайдеру?
LazyFisher
 
Сообщения: 17
Зарегистрирован: 17 сен 2008, 19:29

Re: VPN между филиалами (продолжение)

Сообщение DenM » 27 янв 2017, 14:45

Телесин работает правильно. По конфигам ничего страшного не вижу - сравниваю со своими.
Если это внешний мусор, то в отсутствие явного DDOS провайдер не почешется. Да и ни к чему оно.
Честно, за ~8 лет ни разу не наблюдал такой ошибки. Хотя был объект с Интернетом от Westcall... Что только не сыпалось на порт.
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург


Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron