PfSense 2.2.6 и mikrotik site-to-site over IPSEC



  • Не работает IPSEC с микротиком!
    Нагуглил проблему в буржуйской ветке https://forum.pfsense.org/index.php?topic=87333.15 описание совпадает с моей проблемой.

    Хочу спросить, есть у кого нибудь рабочие линки пф+микротик через ipsec?
    PS: описанные рекомендации по ссылке к результату не приводят. Вторая фаза не стартует, SA не прилетают.



  • Оч. хорошо!
    И вам здрасте.
    На МТ последняя router os ? Обновите МТ.

    Ссылку свою читали ? В конце самом решение

    The unity bug that was the source of OP's issue was fixed/worked around in 2.2.1. If you check the "disable unity" checkbox on the advanced tab, it'll prevent that from being an issue.

    Quote from: zueri on March 31, 2015, 10:08:57 am
    Is there any news on this? I've updated to 2.2.1 last week and am facing the same issues. Switch Mikrotik to passive helped but it is not realy a good solution for me (Mikrotik should be Initiator in my case).

    That definitely sounds the same as OP's issue, disable unity.

    P.s. http://forum.mikrotik.com/viewtopic.php?t=88033

    SOLVED

    Problem was that inside IPSEC Peer definition there was Policy Group: default. I'm not sure if this value was present in v5.20 setup, or maybe it was set up by default after upgrade to v6.18. However removing the value for Policy Group (no value at all - NULL), solved the problem.
    I hope this will help to anyone who have simmilar problem..

    Как решите - отпишитесь тут. Спс.



  • https://bozza.ru/art-247.html

    Проблема: при абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение.

    При этом в лог Mikrotik идет сообщение "failed to pre-process ph2 packet", а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности…

    Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).

    Решение: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в  IP - IPSec - Peers в поле Policy Template Group.



  • 2 derwin

    Гуглил по фразе failed to pre-process ph2 packet

    У нас с Вами интернеты разные ? Или кто-то из нас двоих оч. ленив ?



  • @werter:

    2 derwin

    Гуглил по фразе failed to pre-process ph2 packet

    У нас с Вами интернеты разные ? Или кто-то из нас двоих оч. ленив ?

    это всё пройденный этап.  Прочтите мой первый пост, я там написал "описанные рекомендации по ссылке к результату не приводят". Пожалуйста, без оскорблений.

    RBOS последний - 6,34
    failed to pre-process ph2 packet - гугл говорит мол, делайте одинаковые proposals - 100 раз уже проверил.
    Problem was that inside IPSEC Peer definition there was Policy Group: default  – знатная проблема, мне не помогло.
    disable unity - помогло частично, первая фаза не отваливается. Но проблема на 2й....



  • У меня туннель поднимается SA создаются но другая проблема: из сети rb в сеть за pf я нормально попадаю, трафик ходит в обоих направлениях, а вот из сети pf в сеть за rb попасть не могу. Причем я вижу счетчик SA на rb увеличивается (видимо режется фаером). Пока забросил, но свои настройки покажу.

    
    # feb/02/2016 19:43:10 by RouterOS 6.34
    
    /ip ipsec policy group
    set
    
    /ip ipsec proposal
    set [ find default=yes ] disabled=no enc-algorithms=3des
    
    /ip ipsec peer
    add address=***PF-IP***/32 disabled=yes dpd-interval=disable-dpd enc-algorithm=aes-256 secret=**********
    
    /ip ipsec policy
    set 0 disabled=no
    add disabled=no dst-address=192.168.0.0/23 sa-dst-address=***PF-IP*** sa-src-address=***RB-IP*** src-address=192.168.88.0/24 tunnel=yes
    
    








  • 2 derwin

    Прошу прощения, если оскорбил.

    Попробуйте описать\поднять проблему еще раз на англоветке. Или вообще подать заявку на баг.

    Как вариант - спросить на форуме МТ. Возможно, что проблема не с пф.



  • @derwin:

    Не работает IPSEC с микротиком!
    Нагуглил проблему в буржуйской ветке https://forum.pfsense.org/index.php?topic=87333.15 описание совпадает с моей проблемой.

    Хочу спросить, есть у кого нибудь рабочие линки пф+микротик через ipsec?
    PS: описанные рекомендации по ссылке к результату не приводят. Вторая фаза не стартует, SA не прилетают.

    Pfsense 2.1.5 - MikroTik 6.32
    работает

    : удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в  IP - IPSec - Peers в поле Policy Template Group.



  • у меня уже опускаются руки…..

    У меня есть следующие новости:
    Я взял 3 микротика и собрал стенд. Дык вот! На первом IPSEC взлетает с пол пинка. На втором - поднимается быстро после запуска системы, но если он рвётся, то уже сам не поднимается ни при каких обстоятельствах  :) нужно делать сброс на дефолт (да-да!). На третьем - вообще из коробки не получилось поднять. МИкротики разных моделей  :)

    Дальше ИНТЕРЕСНЕЕ, там где поднимается туннель: из локальной сети pf в сеть микротика я хожу свободно. А вот обратно - пинг ходит, а вот TCP/UDP - нет. Ощущение, как будто дешифруется входящий траффик неправильно. Или обрезается.

    Склоняюсь к тому, что проблема на стороне микротика. Они каждый месяц пилят IPSEC. Версия RB OS 6.34

    Пока что заброшу это дело на пару месяцев, подожду пару релизов mk + pf, может, что то исправится.

    Хочу попутно приспроситься - какие варианты есть для использования IPSEC в multi-WAN решениях? Такие линки в интерфейсы не добавить, как и в группы интерфейсов.



  • http://habrahabr.ru/post/272061/
    Вот интересная статья по поводу многосвязоности.



  • у меня работает 2.2.6 с микротиками по ипсек обрщайтесь



  • @vadimkara:

    у меня работает 2.2.6 с микротиками по ипсек обрщайтесь

    А можно взгянуть на Ваши настройки?
    Настраивали микротик после полного сброса (удаления всей конфигурации) или добавляя то что было из коробки?



  • дам сразу несколько советов на микротике создавайте пир вручную и отключайте DPD, на пфсенсе все далайте как в манах которых куча по сети у меня стоит икея в1 и аес 128 на обоих стадиях. И да не забывайте срк нат прописывать на микротике.



  • :)
    И если после настройки у вас все равно не конектит просто вручкю убейте все уже выданные сертификаты на микротике.
























  • 2 vadimkara
    А что-то серъезнее , чем aes 128 cbc никак ?  :'(

    Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.



  • Спасибо за скрины, нашел у себя ошибочку с группами. Но одно пока не понятно: со стороны микротика нет доступа к сети за pf до тех пор пока не пинганешь с другой стороны и все это работает пока висят states



  • Проверяй фаер пфсенса разреши все протоколы и все состояния с локальной сети в удаленную. И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.



  • @werter:

    2 vadimkara
    А что-то серъезнее , чем aes 128 cbc никак ?  :'(

    Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

    Без проблем 256 тоже работает мне просто производительность канала поавторитетней.



  • @vadimkara:

    Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

    Какая у Вас скорость на aes128? В моем случае это 30-40 Мбит.



  • @werter:

    2 vadimkara
    А что-то серъезнее , чем aes 128 cbc никак ?  :'(

    Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

    оффтоп.
    а чем вас 128 не устраивает?
    как дипломированный специалист по криптографии, могу ответственно заявить, что для дешифровки алгоритма в обозримом будущем ещё не придумали технических мощностей.
    Даже если есть алгоритмы со 192 или 256 битным шифрованием - это всё равно что бесконечность умножать на 2 или даже на 10 - всё равно получится бесконечность.



    1. а кто знает, зачем нужно вот это? https://forum.pfsense.org/index.php?action=dlattach;topic=106103.0;attach=75143;image
    2. как можно использовать ipsec в multi-wan решениях? объединяя несколько линков в failower Группу например….


  • @vadimkara:

    И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.

    посмотрел все свои маршрутеры - нигде эта галочка не отмечена.
    По описанию весьма смутно представляю зачем она нужно.
    Расскажите пожалуйста, какие у меня изза отсудствия галочки есть проблемы. Статические маршруты имеются, включая 2 линка LAN-to-2LAN через failower группу



  • В адвансд настройках самого пфсенса а не маршрута. То окшко что ты вывел нужно для других типов авторизации помимо мутуал пск



  • отпишусь для потомков:

    1. IPSec никак не маршрутизируется, и в интерфейсы не выделяется. Он работает напрямую с ядром.
    2. Mikrotik старых версий(6.18, 5.24) поднять IPSec удалось, но не использую. Остался на L2TP ибо есть проблемы с траффиком от микротика в pf. Микротик в своём репертуаре.

Log in to reply