PfSense 2.2.6 и mikrotik site-to-site over IPSEC

derwin

Не работает IPSEC с микротиком!
Нагуглил проблему в буржуйской ветке https://forum.pfsense.org/index.php?topic=87333.15 описание совпадает с моей проблемой.

Хочу спросить, есть у кого нибудь рабочие линки пф+микротик через ipsec?
PS: описанные рекомендации по ссылке к результату не приводят. Вторая фаза не стартует, SA не прилетают.

werter

Оч. хорошо!
И вам здрасте.
На МТ последняя router os ? Обновите МТ.

Ссылку свою читали ? В конце самом решение

The unity bug that was the source of OP's issue was fixed/worked around in 2.2.1. If you check the "disable unity" checkbox on the advanced tab, it'll prevent that from being an issue.

Quote from: zueri on March 31, 2015, 10:08:57 am
Is there any news on this? I've updated to 2.2.1 last week and am facing the same issues. Switch Mikrotik to passive helped but it is not realy a good solution for me (Mikrotik should be Initiator in my case).

That definitely sounds the same as OP's issue, disable unity.

P.s. http://forum.mikrotik.com/viewtopic.php?t=88033

SOLVED

Problem was that inside IPSEC Peer definition there was Policy Group: default. I'm not sure if this value was present in v5.20 setup, or maybe it was set up by default after upgrade to v6.18. However removing the value for Policy Group (no value at all - NULL), solved the problem.
I hope this will help to anyone who have simmilar problem..

Как решите - отпишитесь тут. Спс.

werter

https://bozza.ru/art-247.html

Проблема: при абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение.

При этом в лог Mikrotik идет сообщение "failed to pre-process ph2 packet", а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности…

Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).

Решение: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в IP - IPSec - Peers в поле Policy Template Group.

werter

2 derwin

Гуглил по фразе failed to pre-process ph2 packet

У нас с Вами интернеты разные ? Или кто-то из нас двоих оч. ленив ?

derwin

@werter:

2 derwin

Гуглил по фразе failed to pre-process ph2 packet

У нас с Вами интернеты разные ? Или кто-то из нас двоих оч. ленив ?

это всё пройденный этап. Прочтите мой первый пост, я там написал "описанные рекомендации по ссылке к результату не приводят". Пожалуйста, без оскорблений.

RBOS последний - 6,34
failed to pre-process ph2 packet - гугл говорит мол, делайте одинаковые proposals - 100 раз уже проверил.
Problem was that inside IPSEC Peer definition there was Policy Group: default – знатная проблема, мне не помогло.
disable unity - помогло частично, первая фаза не отваливается. Но проблема на 2й....

Buch

У меня туннель поднимается SA создаются но другая проблема: из сети rb в сеть за pf я нормально попадаю, трафик ходит в обоих направлениях, а вот из сети pf в сеть за rb попасть не могу. Причем я вижу счетчик SA на rb увеличивается (видимо режется фаером). Пока забросил, но свои настройки покажу.


# feb/02/2016 19:43:10 by RouterOS 6.34

/ip ipsec policy group
set

/ip ipsec proposal
set [ find default=yes ] disabled=no enc-algorithms=3des

/ip ipsec peer
add address=***PF-IP***/32 disabled=yes dpd-interval=disable-dpd enc-algorithm=aes-256 secret=**********

/ip ipsec policy
set 0 disabled=no
add disabled=no dst-address=192.168.0.0/23 sa-dst-address=***PF-IP*** sa-src-address=***RB-IP*** src-address=192.168.88.0/24 tunnel=yes

1pf.png_thumb

2pf.png_thumb

3pf.png_thumb

werter

2 derwin

Прошу прощения, если оскорбил.

Попробуйте описать\поднять проблему еще раз на англоветке. Или вообще подать заявку на баг.

Как вариант - спросить на форуме МТ. Возможно, что проблема не с пф.

smils

@derwin:

Не работает IPSEC с микротиком!
Нагуглил проблему в буржуйской ветке https://forum.pfsense.org/index.php?topic=87333.15 описание совпадает с моей проблемой.

Хочу спросить, есть у кого нибудь рабочие линки пф+микротик через ipsec?
PS: описанные рекомендации по ссылке к результату не приводят. Вторая фаза не стартует, SA не прилетают.

Pfsense 2.1.5 - MikroTik 6.32
работает

: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в IP - IPSec - Peers в поле Policy Template Group.

derwin

у меня уже опускаются руки…..

У меня есть следующие новости:
Я взял 3 микротика и собрал стенд. Дык вот! На первом IPSEC взлетает с пол пинка. На втором - поднимается быстро после запуска системы, но если он рвётся, то уже сам не поднимается ни при каких обстоятельствах :) нужно делать сброс на дефолт (да-да!). На третьем - вообще из коробки не получилось поднять. МИкротики разных моделей :)

Дальше ИНТЕРЕСНЕЕ, там где поднимается туннель: из локальной сети pf в сеть микротика я хожу свободно. А вот обратно - пинг ходит, а вот TCP/UDP - нет. Ощущение, как будто дешифруется входящий траффик неправильно. Или обрезается.

Склоняюсь к тому, что проблема на стороне микротика. Они каждый месяц пилят IPSEC. Версия RB OS 6.34

Пока что заброшу это дело на пару месяцев, подожду пару релизов mk + pf, может, что то исправится.

Хочу попутно приспроситься - какие варианты есть для использования IPSEC в multi-WAN решениях? Такие линки в интерфейсы не добавить, как и в группы интерфейсов.

PbIXTOP

http://habrahabr.ru/post/272061/
Вот интересная статья по поводу многосвязоности.

vadimkara

у меня работает 2.2.6 с микротиками по ипсек обрщайтесь

Buch

@vadimkara:

у меня работает 2.2.6 с микротиками по ипсек обрщайтесь

А можно взгянуть на Ваши настройки?
Настраивали микротик после полного сброса (удаления всей конфигурации) или добавляя то что было из коробки?

vadimkara

дам сразу несколько советов на микротике создавайте пир вручную и отключайте DPD, на пфсенсе все далайте как в манах которых куча по сети у меня стоит икея в1 и аес 128 на обоих стадиях. И да не забывайте срк нат прописывать на микротике.

vadimkara

:)
И если после настройки у вас все равно не конектит просто вручкю убейте все уже выданные сертификаты на микротике.

phase1.png_thumb

phase2.png_thumb

rules.png_thumb

result.png_thumb

group.png_thumb

proposal.png_thumb

peer.png_thumb

policy1.png_thumb

policy2.png_thumb

nat.png_thumb

firewall1.png_thumb

werter

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

Buch

Спасибо за скрины, нашел у себя ошибочку с группами. Но одно пока не понятно: со стороны микротика нет доступа к сети за pf до тех пор пока не пинганешь с другой стороны и все это работает пока висят states

vadimkara

Проверяй фаер пфсенса разреши все протоколы и все состояния с локальной сети в удаленную. И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.

vadimkara

@werter:

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

Buch

@vadimkara:

Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

Какая у Вас скорость на aes128? В моем случае это 30-40 Мбит.

derwin

@werter:

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

оффтоп.
а чем вас 128 не устраивает?
как дипломированный специалист по криптографии, могу ответственно заявить, что для дешифровки алгоритма в обозримом будущем ещё не придумали технических мощностей.
Даже если есть алгоритмы со 192 или 256 битным шифрованием - это всё равно что бесконечность умножать на 2 или даже на 10 - всё равно получится бесконечность.