Forum » Omrežja in internet » Mikrotik multisite IPSec
Mikrotik multisite IPSec
damirj79 ::
Pozdravljeni,
imam težavo pri dostopu do remote subnetov in sicer bolj točno, gre za to, da imam na eno strani pisarno, kjer je postavljen Draytek Vigor 2960 (10.10.10.0/24), na remote lokaciji pa Mikrotik RB95x. Ta lokacija (192.168.100.0/24) ima nato tudi podlokacije, ki so že vse povezane prek VPNja (ne vem točno katerega) in sicer so na subnetih 192.168.26.0/24, 192.168.28.0/24 itd.. Problem je v dostopu do teh podlokacij. Na Drayteku imam vpisane remote mreže, saj je v Drayteku to opcija in ponavadi deluje pravilno če je na vseh straneh Draytek. Ali je na Mikrotiku sploh mogoče nastaviti, da bi lahko jaz iz moje pisarne dostopal do teh podlokacij in kako? Po tracert ukazu vidim, da do prvega mikrotika paketi iz moje mreže pridejo, potem pa konec. Kako se na Mikrotiku nastavlja Multisite IPSec VPN v zvezda strukturi in da so vse lokacije vidne med sabo?
Hvala.
imam težavo pri dostopu do remote subnetov in sicer bolj točno, gre za to, da imam na eno strani pisarno, kjer je postavljen Draytek Vigor 2960 (10.10.10.0/24), na remote lokaciji pa Mikrotik RB95x. Ta lokacija (192.168.100.0/24) ima nato tudi podlokacije, ki so že vse povezane prek VPNja (ne vem točno katerega) in sicer so na subnetih 192.168.26.0/24, 192.168.28.0/24 itd.. Problem je v dostopu do teh podlokacij. Na Drayteku imam vpisane remote mreže, saj je v Drayteku to opcija in ponavadi deluje pravilno če je na vseh straneh Draytek. Ali je na Mikrotiku sploh mogoče nastaviti, da bi lahko jaz iz moje pisarne dostopal do teh podlokacij in kako? Po tracert ukazu vidim, da do prvega mikrotika paketi iz moje mreže pridejo, potem pa konec. Kako se na Mikrotiku nastavlja Multisite IPSec VPN v zvezda strukturi in da so vse lokacije vidne med sabo?
Hvala.
darkolord ::
Seveda se da, ampak si dal premalo podatkov.
VPN za podlokacije je na Mikrotiku?
IPSEC policy (MT-Draytek) na Mikrotiku vključuje subnete podlokacij?
VPN za podlokacije je na Mikrotiku?
IPSEC policy (MT-Draytek) na Mikrotiku vključuje subnete podlokacij?
damirj79 ::
Ugibam, ampak mislim da so podlokacije zvezane na centralni mikrotik z IPSec prek GRE. Točnih podatkov nimam, saj gre za oddaljeno mrežo, ki bi jo samo pokoristil, da lahko iz moje pisarne tudi jaz dostopam do vseh njihovih lokacij. ***
IPSec policy misliš na tole?
Za test sem doma postavil en
*** Zanima me tudi kombinacija Draytek-Mikrotik IPSec prek GRE. Poskušam, ampak ima kdo kako idejo kako je potrebno pravilno nastaviti na obeh straneh? Največ kar dobim je, da povezavo VPN imam, v Drayteku kaže vse OK, celo neki paketki se prenašajo, več od tega pa ni, noben ping, noben tracert ni uspešen. Pingam lahko samo lokalni GRE IP, remote GRE IP mi ni dosegljiv, čeprav je vzpostavljena povezava nanj.
@Wini, mogoče, ampak kje? na Drayteku route do remote lokacije ne morem vpsiati, ima tako narejeno, da remote subnete vpisujem dodatno poleg v nastavitvah IPSec VPN, in nato router sam kreira route. Na mikrotiku se mi pa ne sanja kako to urediti?
IPSec policy misliš na tole?
Za test sem doma postavil en
*** Zanima me tudi kombinacija Draytek-Mikrotik IPSec prek GRE. Poskušam, ampak ima kdo kako idejo kako je potrebno pravilno nastaviti na obeh straneh? Največ kar dobim je, da povezavo VPN imam, v Drayteku kaže vse OK, celo neki paketki se prenašajo, več od tega pa ni, noben ping, noben tracert ni uspešen. Pingam lahko samo lokalni GRE IP, remote GRE IP mi ni dosegljiv, čeprav je vzpostavljena povezava nanj.
@Wini, mogoče, ampak kje? na Drayteku route do remote lokacije ne morem vpsiati, ima tako narejeno, da remote subnete vpisujem dodatno poleg v nastavitvah IPSec VPN, in nato router sam kreira route. Na mikrotiku se mi pa ne sanja kako to urediti?
darkolord ::
Probaj samo dodat še en policy - vse enako kot je na sliki (+ enaki podatki iz Action jezička), s tem da za Src. Address vneseš network podlokacije.
Zgodovina sprememb…
- spremenilo: darkolord ()
damirj79 ::
Doma sem si postavil en MT router in naredil VPN do moje pisarne. Tudi na naši strani imam potem podlokacije in na vseh loakcijah je enak router (Vigor 2960). Iz pisarne imam dostop do vseh pisarn. Od doma pa prek MT pridem samo do prve pisarne, vse ostale so nedosegljive. Poskušal sem tudi dodajat policyje za ostale pisarne in isto en gre. Razširil sem tudi subnet v policyju na /16 mrežo... Sigurno nekaj delam narobe, a ne vem kaj.
darkolord ::
Pri policy probaj še dat Level na "unique" (da naredi nov tunel)
Imaš NAT bypass pravilo v Firewallu?
Imaš NAT bypass pravilo v Firewallu?
damirj79 ::
NAT bypas za remoet mrežo? Ja
Poskušal se mtudi "unique" opcijo, sem bral o etm, ampak kot kaže gre samo za psoebnost v kolikor je na drugi strani Cisco router z več subneti
Poskušal se mtudi "unique" opcijo, sem bral o etm, ampak kot kaže gre samo za psoebnost v kolikor je na drugi strani Cisco router z več subneti
Torx ::
Poiskusi še na Mikrotiku dodat routo za vse IPSec destinacije na lokalni bridge - sem imel podoben problem in dokler nisem takih rout postavil sem lahko sam pingal, kaj več od tega pa ne.
damirj79 ::
Aha ok, to sem dodal, ampak ker je bil ping OK s tem ali brez tega, sem jo zabrisal ven :) Seveda ping deluje, ampak danes sem poskušal RDP in ne gre nikamor..
Bral sem še da bi moral na bridge nastaviti arp-proxy. Ima to kaj veze, bi lahko bil rešitev?
Bral sem še da bi moral na bridge nastaviti arp-proxy. Ima to kaj veze, bi lahko bil rešitev?
Torx ::
Nima vpliva
Za mikrotik mi je to še najbolj koristilo:
http://wiki.mikrotik.com/wiki/Manual:Pa...
Nekoliko konfuzno na prvi pogled, sam pomaga pri troubleshootingu..
Za mikrotik mi je to še najbolj koristilo:
http://wiki.mikrotik.com/wiki/Manual:Pa...
Nekoliko konfuzno na prvi pogled, sam pomaga pri troubleshootingu..
Zgodovina sprememb…
- spremenil: Torx ()
damirj79 ::
Take so nastavitve na Mikrotiku. Z njim se povezujem v pisarno, subnet 10.10.12.0/24 od koder lahko sicer nato normalno dostopam tudi do ostalih pisarn, konkretno v tem primeru na sliki 10.10.15.0/24. Če grem preko L2TP ali PPTP povezave na prvo pisarno, potem lahko normalno dostopam do vseh pisarn. Na Mikrotiku sem torej naredil IPSec VPN, kot je na sliki, nastavil sem subnet 10.10.0.0/16, da pokrijem vse subnete in seveda na prvo pisarno lahko pridem, na ostale pa ne. Poskušal sem tudi, da sem razbil na indvidiualne subnete in nastavil route, NAT rulse in IPSec policyje na 10.10.12.0/24 in 10.10.15.0/24 in vseeno ne gre. Zakaj ne?
Zgodovina sprememb…
- spremenil: damirj79 ()
darkolord ::
Težko reč, če ne veš, na kakšen način so ostale pisarne povezane med sabo.
Zamisli si iz druge smeri: nekdo iz pisarne 10.10.15.0 pinga 192.168.88.x. A bo paketek prišel do tega routerja, na katerega se povezuješ?
Če ima druga stran tudi policije, potem paketka ne bo nazaj, ker ga bo router iz tiste pisarne poslal v internet namesto prek VPNja.
V takem primeru bi moral:
- ali dodati policije/route na ostalih routerjih
- ali uporabiti drugačen tip VPNja, da dobiš IP iz networka pisarne
- ali delati NAT
Zamisli si iz druge smeri: nekdo iz pisarne 10.10.15.0 pinga 192.168.88.x. A bo paketek prišel do tega routerja, na katerega se povezuješ?
Če ima druga stran tudi policije, potem paketka ne bo nazaj, ker ga bo router iz tiste pisarne poslal v internet namesto prek VPNja.
V takem primeru bi moral:
- ali dodati policije/route na ostalih routerjih
- ali uporabiti drugačen tip VPNja, da dobiš IP iz networka pisarne
- ali delati NAT
Zgodovina sprememb…
- spremenilo: darkolord ()
damirj79 ::
Hm, šlo je tako, da sem na lokaciji 10.10.15.0/24 v VPN policyju za mrežo 10.10.12.0 vpisal ruto še za 192.168.88.0/24. Zdaj lahko iz mreže 10.10.15.0 pridem tudi na mikrotik mrežo 192.168.88.0. Kaj pa če imam še dodatno prek VPN IPsec povezan drug mikrotik na prvi mikrotik, na primer da ima mrežo 192.168.89.0, moram to drugo mrežo dodati na vseh lokacijah? Kaj če uporabim RIP? Draytek ima za vsako VPN povezavo posebej tudi opcijo RIP da ali ne na VPN povezavi in teoretično sem vedno samo to kljukico postavil in Drayteki so se med sabo vse zmenili. Kako to nastavim na Mikrotiku?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Domači VPN (strani: 1 2 3 )Oddelek: Omrežja in internet | 24798 (10646) | Daniel |
» | Mikrotik nastavitveOddelek: Omrežja in internet | 3188 (2588) | Poldi112 |
» | SSH forwarding na MikrotikuOddelek: Omrežja in internet | 1815 (1555) | miki133 |
» | Mikrotik RB2011UiAS-2HnD-IN na Amisu, bizarno počasen internet. (strani: 1 2 )Oddelek: Omrežja in internet | 12352 (9632) | Invictus |
» | Prekinjanje VPN povezaveOddelek: Omrežja in internet | 2410 (2060) | ircr |