Alexey
22.11.2017
07:38:11
N88
22.11.2017
07:40:45
а глобально ? может кто изза границы?
Ilya
22.11.2017
07:41:00
set security ike proposal mikro authentication-method pre-shared-keys
set security ike proposal mikro dh-group group5
set security ike proposal mikro authentication-algorithm md5
set security ike proposal mikro encryption-algorithm 3des-cbc
set security ike proposal mikro lifetime-seconds 43200
set security ike policy mikro mode main
set security ike policy mikro proposals mikro
set security ike policy mikro pre-shared-key ascii-text "####################"
set security ike gateway mikro ike-policy mikro
set security ike gateway mikro address 10.131.254.130
set security ike gateway mikro dead-peer-detection interval 60
set security ike gateway mikro local-identity inet 10.131.250.5
set security ike gateway mikro external-interface reth1.3130
set security ike gateway mikro version v2-only
/ip ipsec peer
add address=10.131.250.5/32 dh-group=modp1536 dpd-interval=1m enc-algorithm=3des exchange-mode=ike2 hash-algorithm=md5 lifetime=12h \
local-address=10.131.254.130 policy-template-group=srx secret=########
Google
Ilya
22.11.2017
07:41:21
я правильно понимаю что настройки идентичны?
джунипер и микрот
в чем же тогда дело может быть?
ни в какую пиры не поднимаются
хотя вчера работало все
хз че изменилось
Alexey
22.11.2017
07:48:16
Dmitry
22.11.2017
07:59:19
Вот Серёга даёт, даже в пути оказывает помощь коллегам. Респектую!)
Sergiy
22.11.2017
08:00:21
Замаскарадь трафик к этой айпишке, это позволит с ней Общаться без задания шлюза на ней, так как все пакеты будут с соурс адресом микротика
Alexey
22.11.2017
08:14:42
в пути то чо еще делать как не трындеть с коллегами)
Realmagnum Alex
22.11.2017
08:24:13
Mikhail
22.11.2017
08:51:32
Коллеги, подскажите плз; есть два офиса: А и Б, соединены ВПН (eoip или l2tp) - всё ок. как заставить обоих офисов выходить в интернет только через Б? mangle + route ?
Sergey
22.11.2017
08:55:45
На роутере А - завернуть маршрут по умолчанию на роутер Б
Google
Sergey
22.11.2017
09:00:05
только тыж не забудь /32 на роутере А прописать до роутера Б через интернет
Чтоб твой тунель не развалился
@myuriev
Sergiy
22.11.2017
09:02:25
Sergey
22.11.2017
09:03:01
Sergiy
22.11.2017
09:03:04
Во всяком случае у корбины так было пару лет назад
Mikhail
22.11.2017
09:28:14
Sergey
22.11.2017
09:28:33
Ага
Только нужно сбрить дефотл в интернет
только аккуратно это делай, чтоб не потерял управление
если через интернет на нем сидишь
Mikhail
22.11.2017
09:40:52
Только нужно сбрить дефотл в интернет
я тогда не очень понимаю. если убрать дефолтный маршрут в интернет на гейт провайдера — как вообще тогда L2TP поднимется без роутинга до второго филиала.
Kirill
22.11.2017
09:41:29
Sergey
22.11.2017
09:41:38
только тыж не забудь /32 на роутере А прописать до роутера Б через интернет
Чтоб твой тунель не развалился
Kirill
22.11.2017
09:44:27
Потом сиди и вангуй над такой схемой почему где отвалилось или сложности будут в будущем
Voldemar
22.11.2017
10:03:25
ребята не замечал никто отвала Ipsec тунелей на ros 6.40.3 ? помогает только перезагрузка, flush sa и kill peer не помогают, перестает устанавливаться 1 фаза. а после ребута опять норм. тунели с дефолтными динамическими политиками.
Nikita
22.11.2017
10:09:31
Voldemar
22.11.2017
10:10:06
Google
Nikita
22.11.2017
10:10:22
Вручную создавать правила статические
Voldemar
22.11.2017
10:10:45
а, понял
Mikhail
22.11.2017
10:10:48
Вот таким способом
Спасибо, не заметил сразу. Подскажите плз, а как теперь попасть на роутер А попасть напрямик из интернета? ведь активный маршрут в мир остался только на роутер Б.
Voldemar
22.11.2017
10:10:52
попробую
Nikita
22.11.2017
10:11:43
Если с двух сторон ip белые статические, то совсем просто, если с другой стороны динамика, то полиси по шаблону
Voldemar
22.11.2017
10:12:05
везде статика
Nikita
22.11.2017
10:13:20
Пиши в лс если не разберёшься сам. На вики вполне годная инструкция по ipsec
Лучше сначала на стенде протестируй, потом внедряй в продакшн
Не забудь сделать бэкапы с двух сторон
Voldemar
22.11.2017
10:20:44
оно как бы работает :) но периодически отваливается нечасто, может и за 2 недели ни разу не отвалится, а может через 2 дня
Nikita
22.11.2017
10:21:26
Что в логах во время отвала?
Какая фаза не строится?
Режим туннельный/транспортный ?
Voldemar
22.11.2017
10:26:45
не строится 1 фаза, режим тунельный, на втором конце не микротик
в логах дословно сейчас не вспомнить
пытается установить 1 фазу и не может
имеет ли смысл обновляться на 40.4 или 40.5 ? судя по ченджлогам там пару фиксов сделали по ipsec
Nikita
22.11.2017
10:28:43
На файрволл на udp порт 500 что-то приходит?
Voldemar
22.11.2017
10:30:06
это к сожалению не наблюдал, погляжу в следующий раз, на счетчики в input глядеть?
Nikita
22.11.2017
10:30:38
Сначала лови на mangle preroute, потом на mangle input, потом на файрволле
Google
Nikita
22.11.2017
10:30:48
Action passthru
Счётчики трафика если пойдут - тебе инфа для отладки
Voldemar
22.11.2017
10:32:07
сделать правило на udp 500 в мангле ?
Nikita
22.11.2017
10:32:35
http://mikrotik-trainings.com/docs/MikroTik_PacketFlow_Routing24.jpg
Так должно быть понятно :)
Да, для начала udp 500
Voldemar
22.11.2017
10:33:56
спс
Nikita
22.11.2017
10:35:08
О, джедай ипсек. А можете подсказать немного теоретических изысков?)
Voldemar
22.11.2017
10:38:31
я еще заметил, на тех роутерах где ловил отвалы, было настроено ексчендж моде - main-l2tp, не знаю как так вышло, но я переделал на main. на остальных роутерах пока не стал трогать, понаблюдаю
Ivor
22.11.2017
13:58:37
Подскажите, не совершаю ли я ошибку. У меня CRS125, Два бриджа, две подсети 10.1.1.0/24 и 10.2.2.0/24, например. Изолированные друг от друга. Появляется треться сеть 10.3.3.0/24, в которую должны ходить обе сети, при этом оставаясь изолированными друг от друга. Я в микротике на каждый бридж добавляю адрес 10.3.3.3/24. И с каждой группы портов спускаю по проводу.
Насколько я понимаю, изоляцию подсетей это не нарушит?
Можно ли обойтись одним проводом не усложняя?
вланов нет и не предвидится.
Я как бы думал — сделать порт, который будет в обоих бриджах + подсеть 10.3.3.3 и кинуть провод оттуда, но как бы напрягает сводить все яйца в один порт.
Evgeny
22.11.2017
14:03:19
Владлен
22.11.2017
14:03:41
Evgeny
22.11.2017
14:04:17
Eduard
22.11.2017
14:05:27
Sergei @Bbeetle
22.11.2017
14:14:04
Подскажите, не совершаю ли я ошибку. У меня CRS125, Два бриджа, две подсети 10.1.1.0/24 и 10.2.2.0/24, например. Изолированные друг от друга. Появляется треться сеть 10.3.3.0/24, в которую должны ходить обе сети, при этом оставаясь изолированными друг от друга. Я в микротике на каждый бридж добавляю адрес 10.3.3.3/24. И с каждой группы портов спускаю по проводу.
Насколько я понимаю, изоляцию подсетей это не нарушит?
Можно ли обойтись одним проводом не усложняя?
вланов нет и не предвидится.
судя по тому, что никто не понял, что именно вы хотите сделать, таки совершаете :)
если у вас разные подсети ip, то между ними должна быть маршрутизация. Там уже и надо настраивать, что куда маршрутизируется, а что куда не
Илья
22.11.2017
14:18:03
у меня схожий кейс, в фильтре явно указал что куда можно, остальное запрет
Alexey
22.11.2017
14:21:12
кстати, посоны, такой вопрос. был у меня случай - ставили миротик в существуюшую говносеть, там был ужас ужас. и вот забавный аспект - когда ты указывал на одном из интерфейсов 2 айпи сразу (там были "разделенные" путем выдачи разных айпи адресов сети в одном броадкастовом домене) - начинались лютые лаги на оборудовании, которое маршрутизировалось через один из этих адресов. а когда разделили по интерфейсам нормально - все стало хорошо. проблему решили, но мне до сих пор интересно - в чем была причина?
Sergei @Bbeetle
22.11.2017
14:26:45
Google
Sergei @Bbeetle
22.11.2017
14:26:51
который не отлавливался
Alexey
22.11.2017
14:26:56
напрашивающаяся идея, но лупа не было
Sergei @Bbeetle
22.11.2017
14:27:14
у меня такое по неопытности с вланами было (не на микротиках)
Alexey
22.11.2017
14:27:22
там забавно что пинги ходили отлично, TCP люто тормозил
Sergei @Bbeetle
22.11.2017
14:27:40
подсети изолировались вланами и хотел похожий кейс - чтобы к серваку могли из разных вланов коннектиться а между собой нет
просто забубенил один порт в кучу вланов и навешал адреса.. при хорошем трафике с этого хоста, сетка ложилась
решил вопрос введением вланов на хосте (благо серверная сетевуха позволяла их сделать)
потом и на админский комп аналогично сделал, нашел недорогой интеловый адаптер, умеющий в вланы
так вот я потом пытался понять что пошло не так и пришел в выводу что при прохождение со снятием тега в сторонее оборудование, пакет мог вернуться в другой влан.. и дальше получался луп
Ivor
22.11.2017
14:44:22
Sergey
22.11.2017
14:49:23
Ivor
22.11.2017
14:53:04
Где-то была, не помню. Но вариант разрешено всё что не запрещено меня в целом-то устраивает.
Алексей
22.11.2017
14:56:10
А раскажите, пожалуйста, про запрещающие правила в routes. Как это делается?
Sergei @Bbeetle
22.11.2017
14:56:31
Микротики всё замечательно самостоятельно маршрутизируют, если нет запрещающих правил в routes. Ну или в firewall, как у некоторых гурманов.
если все замечательно маршрутизируют, что написано в этой фразе: "Я в микротике на каждый бридж добавляю адрес 10.3.3.3/24. И с каждой группы портов спускаю по проводу. "?
Вы двум бриджам присваиваете одинаковый адрес и хотите, чтобы оно как-то маршрутизировало, или что? Может микротик в этом и разберется, но лично я пока не понимаю какю логику вы при этом подразумеваете. В моем представлении должны быть в таблице маршрутизации соответствующие маршруты, в которых явно будет задано какая сеть куда маршрутизируется. Ну и в сетях микротик должен быть шлюзом как минимум для двух других подсетей. Зачем бриджам прописывать еще и адрес в третьей подсети? "спускаю по проводу" - это я вообще не понял, о чем
Ivor
22.11.2017
14:57:10
73v3N
22.11.2017
14:58:30
порт после ошибки на микроте вообще перестает работать.