PfSense 2.2.6 и mikrotik site-to-site over IPSEC

smils

Не работает IPSEC с микротиком!
Нагуглил проблему в буржуйской ветке https://forum.pfsense.org/index.php?topic=87333.15 описание совпадает с моей проблемой.

Хочу спросить, есть у кого нибудь рабочие линки пф+микротик через ipsec?
PS: описанные рекомендации по ссылке к результату не приводят. Вторая фаза не стартует, SA не прилетают.

Pfsense 2.1.5 - MikroTik 6.32
работает

: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в IP - IPSec - Peers в поле Policy Template Group.

derwin

у меня уже опускаются руки…..

У меня есть следующие новости:
Я взял 3 микротика и собрал стенд. Дык вот! На первом IPSEC взлетает с пол пинка. На втором - поднимается быстро после запуска системы, но если он рвётся, то уже сам не поднимается ни при каких обстоятельствах :) нужно делать сброс на дефолт (да-да!). На третьем - вообще из коробки не получилось поднять. МИкротики разных моделей :)

Дальше ИНТЕРЕСНЕЕ, там где поднимается туннель: из локальной сети pf в сеть микротика я хожу свободно. А вот обратно - пинг ходит, а вот TCP/UDP - нет. Ощущение, как будто дешифруется входящий траффик неправильно. Или обрезается.

Склоняюсь к тому, что проблема на стороне микротика. Они каждый месяц пилят IPSEC. Версия RB OS 6.34

Пока что заброшу это дело на пару месяцев, подожду пару релизов mk + pf, может, что то исправится.

Хочу попутно приспроситься - какие варианты есть для использования IPSEC в multi-WAN решениях? Такие линки в интерфейсы не добавить, как и в группы интерфейсов.

PbIXTOP

http://habrahabr.ru/post/272061/
Вот интересная статья по поводу многосвязоности.

vadimkara

у меня работает 2.2.6 с микротиками по ипсек обрщайтесь

Buch

@vadimkara:

у меня работает 2.2.6 с микротиками по ипсек обрщайтесь

А можно взгянуть на Ваши настройки?
Настраивали микротик после полного сброса (удаления всей конфигурации) или добавляя то что было из коробки?

vadimkara

дам сразу несколько советов на микротике создавайте пир вручную и отключайте DPD, на пфсенсе все далайте как в манах которых куча по сети у меня стоит икея в1 и аес 128 на обоих стадиях. И да не забывайте срк нат прописывать на микротике.

vadimkara

:)
И если после настройки у вас все равно не конектит просто вручкю убейте все уже выданные сертификаты на микротике.

phase1.png_thumb

phase2.png_thumb

rules.png_thumb

result.png_thumb

group.png_thumb

proposal.png_thumb

peer.png_thumb

policy1.png_thumb

policy2.png_thumb

nat.png_thumb

firewall1.png_thumb

werter

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

Buch

Спасибо за скрины, нашел у себя ошибочку с группами. Но одно пока не понятно: со стороны микротика нет доступа к сети за pf до тех пор пока не пинганешь с другой стороны и все это работает пока висят states

vadimkara

Проверяй фаер пфсенса разреши все протоколы и все состояния с локальной сети в удаленную. И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.

vadimkara

@werter:

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

Buch

@vadimkara:

Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

Какая у Вас скорость на aes128? В моем случае это 30-40 Мбит.

derwin

@werter:

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

оффтоп.
а чем вас 128 не устраивает?
как дипломированный специалист по криптографии, могу ответственно заявить, что для дешифровки алгоритма в обозримом будущем ещё не придумали технических мощностей.
Даже если есть алгоритмы со 192 или 256 битным шифрованием - это всё равно что бесконечность умножать на 2 или даже на 10 - всё равно получится бесконечность.

derwin

а кто знает, зачем нужно вот это? https://forum.pfsense.org/index.php?action=dlattach;topic=106103.0;attach=75143;image
как можно использовать ipsec в multi-wan решениях? объединяя несколько линков в failower Группу например….

derwin

@vadimkara:

И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.

посмотрел все свои маршрутеры - нигде эта галочка не отмечена.
По описанию весьма смутно представляю зачем она нужно.
Расскажите пожалуйста, какие у меня изза отсудствия галочки есть проблемы. Статические маршруты имеются, включая 2 линка LAN-to-2LAN через failower группу

vadimkara

В адвансд настройках самого пфсенса а не маршрута. То окшко что ты вывел нужно для других типов авторизации помимо мутуал пск

derwin

отпишусь для потомков:

IPSec никак не маршрутизируется, и в интерфейсы не выделяется. Он работает напрямую с ядром.
Mikrotik старых версий(6.18, 5.24) поднять IPSec удалось, но не использую. Остался на L2TP ибо есть проблемы с траффиком от микротика в pf. Микротик в своём репертуаре.