Доброго времени суток. Поднял тестовый конфиг и теперь мучает неск. вопросов по IPSec. 1) почему не пингуются шлюзы gw2 и gw3 со шлюза gw1? при этом пингуются любые компы в подсетях (см конфиг ниже) 2) прочитал довольно много тем на этом форуме, многие избегают чистый ipsec, пуская его или по eoip или gre, в чём преимущества этого подхода, ведь и там, и там нужен "белый" ip?? 3) один из интерфейсов за натом, если с помощью dyndns буду подставлять ip'шник провайдерского шлюза, будет-ли стабильно работать?? У меня не получилось заставить это работать на чистом ipsec. Вопрос снят. 4) в качестве шлюза для ipsec пакетов стоит внешний интерфейс, судя по вкладке "installed sa" шифрование пакетов идёт, но как-то странно видеть шлюзом внешний интерфейс для внутренних пакетов, это нормально?? Был на MUM, где один из ведущих делился опытом по настройке правил firewall. В общем действительно ipsec не поднимает новый интерфейс. Вопрос снят. Ну и просто посмотрите пожалуйста, есть-ли какие-то ошибки в том, что я наваял... Спойлер: конфиги 3 шлюзов # gw1 /system identity set name=gw1 /ip address add address=10.10.10.1/24 interface=ether3 network=10.10.10.0 add address=192.168.1.1/24 interface=ether1 network=192.168.1.0 /ip ipsec proposal set [ find default=yes ] disabled=yes add enc-algorithms=aes-256-cbc name=aes256 pfs-group=modp2048 /ip ipsec peer add address=10.10.10.2/32 local-address=10.10.10.1 passive=yes secret=12345! add address=10.10.10.3/32 local-address=10.10.10.1 passive=yes secret=12345! /ip ipsec policy set 0 disabled=yes add dst-address=192.168.2.0/24 level=unique proposal=aes256 sa-dst-address=10.10.10.2 sa-src-address=10.10.10.1 src-address=192.168.0.0/16 tunnel=yes add dst-address=192.168.3.0/24 level=unique proposal=aes256 sa-dst-address=10.10.10.3 sa-src-address=10.10.10.1 src-address=192.168.0.0/16 tunnel=yes /ip route add distance=1 gateway=ether3 # gw2 /system identity set name=gw2 /ip address add address=10.10.10.2/24 interface=ether3 network=10.10.10.0 add address=192.168.2.1/24 interface=ether1 network=192.168.2.0 /ip ipsec proposal set [ find default=yes ] disabled=yes add enc-algorithms=aes-256-cbc name=aes256 pfs-group=modp2048 /ip ipsec peer add address=10.10.10.1/32 local-address=10.10.10.2 secret=12345! /ip ipsec policy set 0 disabled=yes add dst-address=192.168.0.0/16 level=unique proposal=aes256 sa-dst-address=10.10.10.1 sa-src-address=10.10.10.2 src-address=192.168.2.0/24 tunnel=yes /ip route add distance=1 gateway=ether3 # gw3 /system identity set name=gw3 /ip address add address=10.10.10.3/24 interface=ether3 network=10.10.10.0 add address=192.168.3.1/24 interface=ether1 network=192.168.3.0 /ip ipsec proposal set [ find default=yes ] disabled=yes add enc-algorithms=aes-256-cbc name=aes256 pfs-group=modp2048 /ip ipsec peer add address=10.10.10.1/32 local-address=10.10.10.3 secret=12345! /ip ipsec policy set 0 disabled=yes add dst-address=192.168.0.0/16 level=unique proposal=aes256 sa-dst-address=10.10.10.1 sa-src-address=10.10.10.3 src-address=192.168.3.0/24 tunnel=yes /ip route add distance=1 gateway=ether3
Два ip (белый - Биллайн, серый - Ростелеком), серый коннектится на белый. Соединение не устанавливается с ошибкой: "phase1 negotiation failed due to send error". В peer profiles стоит галка nat traversal с обоих сторон. Можно-ли как-то заставить работать ipsec в такой ситуации?
Нужно узнать какой у вас реальный IP на ростелекоме и в свойсвах пира указать my-id-type=address my-id=ВНЕШНИЙ IP