-
Зараз на сторінці 0 користувачів
Немає користувачів, що переглядають цю сторінку.
-
Схожий контент
-
Від BALTAR
Имеем поднятый IKEv2/IPSec серв на микроте, сертификаты норм крутятся на ПК, маршруты работают как положено, НО, появилась надобность в связи с новой удалёнкой запихнуть это всё на смартфоны под управлением A12, где есть поддержка IKEv2/IPSec RSA и PSK.
Сертификат на смарт встал, но vpn не подымается, сколько бы я не бил в бубен, перепробованы масса вариков, но логи микрота молчат даже о попытках подключения.
Если кто то сталкивался или знает куда копать - HELP!!!
-
Від Dedy
Просьба помочь в такой проблеме. Не получается завести новый ipsec на mikrotik к life.
Старый работает всё ок. Новый чего-то не хочет то ли я что-то забыл дописать.
Вводные те что прислал лайф
Метод аутентифікації піру (не може бути змінено) /
Pre-shared key
Алгоритм шифрування /
AES-256 | AES-128 (by default) | 3DES
Алгоритм перевірки цілісності даних (Хеш) /
SHA-1 (by default) | MD5
DH група /
Group 2 (by default) | Group 5
Час існування (сек.) (не може бути змінено) /
86400
Режим встановлення IKE SA (не може бути змінено) /
Main
В итоге должен пойти пинг на их айпи 212.58.162.209 или 212.58.162.210 - не идёт.
-
Від ssh911
Всем привет!
Подскажите плиз, если кто пользует ike2 на микроте. Есть задача дать доступ из локальной сети за микротом к некоему хосту в интернет (назовем его HOST_B используя ipsec тунель к промежуточному хосту (назовем его HOST_A):
192.168.88.0 -> mikrot <---IPSEC---> HOST_A (NAT) -> HOST_B
проблема заключается в крайне низкой и плавающей скорости соединения - порядка 0-10kbit/s!!! (меряю iperf3). При этом если я подымаю тот же туннель ipsec непосредственно с хоста в сети 192.168.88.x к хосту HOST_A, то на участке 192.168.88.x -> HOST_B получаю в iperf порядка 30-400Мбит.
При этом сам микрот тоже находится за натом.
Mikrotik RB2011iL
/ip ipsec peer add address=185.112.xx.xx/32 dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 mode-config=request-only my-id=\ user-fqdn:mikrotik@xxx.com secret=xxxxxxxxxx /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\ aes-256-cbc,3des pfs-group=none /ip firewall nat add action=accept chain=srcnat dst-address=193.239.xx.xx out-interface=ether1 \ src-address=192.168.88.0/24 add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\ ether1 src-address=192.168.88.0/24 [support@MikroTik] > /ip ipsec policy print Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes 1 DA src-address=192.168.88.0/24 src-port=any dst-address=193.239.xx.xx/32 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=10.1.1.188 sa-dst-address=185.112.xx.xx proposal=default ph2-count=1 [support@MikroTik] > /ip ipsec installed-sa print Flags: H - hw-aead, A - AH, E - ESP 0 E spi=0x583B16E src-address=185.112.xx.xx:4500 dst-address=10.1.1.188:4500 state=mature auth-algorithm=sha256 enc-algorithm=aes-cbc enc-key-size=256 auth-key="a1acb58f11eeb94ae37977c6ff1c6faac5a11eb1f49023657176721b8037b40f" enc-key="4b7f463730d24c56fa3185f286a59d16569985acae674b1fa830ef3df76e15d3" addtime=sep/20/2017 13:11:33 expires-in=21m17s add-lifetime=24m20s/30m26s current-bytes=13167 current-packets=104 replay=128 1 E spi=0xCE422F3B src-address=10.1.1.188:4500 dst-address=185.112.xx.xx:4500 state=mature auth-algorithm=sha256 enc-algorithm=aes-cbc enc-key-size=256 auth-key="ce12a6b7b09fa5673eada42d6ded1f0389b4c5aaeba01f47146631af12eb9aa5" enc-key="8b92bcca3b6bde7fc30c93c5c61b227a0decddb02e39c1a1d2dbeb19303052c0" addtime=sep/20/2017 13:11:33 expires-in=21m17s add-lifetime=24m20s/30m26s current-bytes=10081 current-packets=125 replay=128 HOST_A - FreeBSD11 185.112.xx.xx
conn ikev2-mikrotik type=tunnel authby=psk rekey=no keyingtries=1 left=%any leftsubnet=193.239.xx.xx leftid=@vpn.xxxxxxx.com rightid=mikrotik@xxxxxxx.com rightsubnet=192.168.88.0/24 auto=start ike=aes256-sha256-modp2048 esp=aes256-sha256-modp2048 fragmentation=yes keyexchange=ikev2 HOST_B - 193.239.xx.xx
Прошу прощения за сумбурное описание. Прошу помочь разобраться откуда такая крайне низкая скорость.
-
Від kontra
Есть 2 отдельные сети (192.168.0.0/24 и 10.25.0.0/24). 2 здания (офисы соединены каналом, что предоставляет Провайдер). Из первого офиса часть серверов переезжает в офис 2 с сохранением всей адресации в пределах 10.25.0.0/24 сети. Для безопасности передачи данных было принято решение поднять внутри канала IPSec на Микротик1 и Микротик2 в Bridge. В офисе 2 необходимо настроить канал между Микротик2 и Микротик3 (он же интернет-шлюз сети 192.168.0.0/24). В офисе 1 интернет-шлюзом выступает машина с KerioControl (настроено куча VPN для внешних клиентов, убрать пока нельзя).
Именно подобное построение сети между двумя офисами было выбрано из соображения, что 2 сети все же должны быть независимы друг от друга, хотя и должны иметь мост между собой в офисе 2 на уровне канала между Микротик2 и Микротик3. Задумывалось для того, что бы если сеть офиса2 (192.168.0.0/24) отделяется или выезжает, то это никак не сказывается на работоспособности офиса1.
Подскажите как настроить Микротики 2 и 3 между собой, чтобы обе сети видели ресурсы друг друга.
В приложении схема.
-
Від 1ropb
Продам недорого оборудование маршрутизатор циско isr 2851
256ram 64flash, модульная конструкция, 4 слота для интерфейсных модулей, все слоты поддерживают HWIC, WIC, VIC, или VWIC типы интерфейсных модулей, встроенное аппаратное ускорение шифрования(DES, 3DES, AES 128, AES 192, AES 256), возможность использовать PoE плат, 1 слот - Extension Voice Module Slot, 3 слота на материнской плате для DSP модулей, 2 внутренних слота для AIM модулей
2 GigabitEthernet
2 USB порта
1 AUX порт
1 Console
форм-фактор 2U
Эксплуатировалась в серверных условиях(на упсах)
Все кулеры рабочие(не свистят)
Есть уши для крепления.
ПО Cisco IOS дает возможность реализации.
- протоколов маршрутизации BGP, EIGRP, OSPF, RIPv1, RIPv2
- поддержка IPSec (VPN, DMVPN, GETvpn, Remote VPN, SSL)
- создание IP ATC, СallManager Express, SRST
- поддержка MPLS и VRF
- создание IPS
Хороший маршрутизатор для организации телефонии и компьютерных сетей среднего размера.
цена 8000грн.
телефон O63-48I-l9-O1
ps: за дополнительную плату могу настроить все вышеупомянутые возможности.
-
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас