Почему отключается шифрование когда включаю динамическую маршрутизацию?

Question

Андрей @andrey71

админю и учу C#, ASP.NET Core

Почему отключается шифрование когда включаю динамическую маршрутизацию?

Добрый день, друзья!

Я на тестовых девайсах(rb750,rb951), с последней прошивкой 6.38.1 и с дефолтной конфигурацией (поменял только адреса. 88.0/24 и 99.0/24) собрал схему.
L2TP сервер - клиент, поставил галочку использовать IPSEC, все политики создаются динамически, всё в таком режиме работает отлично! SA создаются.

НО! Как только я сделал динамическую маршрутизацию (OSPF) - пропало шифрование :(
SA не устанавливаются.

И политики динамические то же не создаются.

Подскажите, как вернуть шифрование?

Вот конфигурация:

# jan/30/2017 13:39:06 by RouterOS 6.38.1
# software id = N65M-чччW
#
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=\
    ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=\
    ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=\
    ether5-slave-local
/ip neighbor discovery
set ether1-gateway discover=no
/ip pool
add name=default-dhcp ranges=192.168.99.10-192.168.99.40
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=ether2-master-local \
    lease-time=4w2d10m name=default
/routing ospf area
set [ find default=yes ] disabled=yes
/routing ospf instance
set [ find default=yes ] disabled=yes
add name=area1 router-id=10.10.1.1
/routing ospf area
add area-id=0.0.0.1 default-cost=1 inject-summary-lsas=no instance=area1 name=\
    area1 type=stub
/interface l2tp-server server
set enabled=yes ipsec-secret=777888 use-ipsec=yes
/ip address
add address=192.168.99.254/24 comment="default configuration" interface=\
    ether2-master-local network=192.168.99.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
    interface=ether1-gateway
/ip dhcp-server network
add address=192.168.99.0/24 comment="default configuration" dns-server=\
    192.168.99.254 gateway=192.168.99.254
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
    established
add action=accept chain=input comment="default configuration" connection-state=\
    related
add action=drop chain=input comment="default configuration" disabled=yes \
    in-interface=ether1-gateway
add action=accept chain=forward comment="default configuration" \
    connection-state=established
add action=accept chain=forward comment="default configuration" \
    connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
    invalid disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway
/ppp secret
add local-address=10.10.1.1 name=test password=555 profile=default-encryption \
    remote-address=10.10.1.2 service=l2tp
/routing ospf network
add area=area1 network=192.168.99.0/24
add area=area1 network=10.10.1.2/32
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local

Вопрос задан более трёх лет назад
911 просмотров

11 комментариев

Подписаться 2 Оценить 11 комментариев

Кирилл Васильев @vasilevkirill

А покажи, как ты включаешь ospf =)

Написано более трёх лет назад
Андрей @andrey71 Автор вопроса

Кирилл Васильев: Кирилл, спасибо за отклик! Всю конфигурацию добавил в вопрос.

Написано более трёх лет назад
Кирилл Васильев @vasilevkirill

Андрей: не вижу где вы в фильтре разрешаете ipsec ?

Написано более трёх лет назад
Андрей @andrey71 Автор вопроса

Кирилл Васильев: Кирилл, я не разрешал их явно. Просто отключил все "дропы". Но после того, как добавил правила явно, ничего не поменялось :(

add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input dst-port=500,4500 protocol=udp

Написано более трёх лет назад
Андрей @andrey71 Автор вопроса

На клиенте такие же изменения вношу.

Написано более трёх лет назад
Кирилл Васильев @vasilevkirill

Андрей: покажите на сервере /ip route print

Написано более трёх лет назад
Андрей @andrey71 Автор вопроса

Кирилл Васильев: Вот:

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.83.254 1
1 ADo 10.10.1.1/32 10.10.1.2 110
2 ADC 10.10.1.2/32 10.10.1.1 0
3 ADC 192.168.83.0/24 192.168.83.124 ether1-gateway 0
4 ADo 192.168.88.0/24 10.10.1.2 110
5 ADC 192.168.99.0/24 192.168.99.254 ether2-master-l... 0
[admin@MikroTik] /ip route>

Хосты за маршрутизаторами пингуются без проблем.

Написано более трёх лет назад
Кирилл Васильев @vasilevkirill

Андрей: а что собственно вас не работает ? маршруты ospf есть, что вам ешё надо?

Написано более трёх лет назад
Андрей @andrey71 Автор вопроса

Кирилл Васильев: Я бы очень хотел шифровать трафик, имея при этом динамическую маршрутизацию и динамические политики ipsec. По отдельности всё работает. без ospf - работает ipsec, как только включаю ospf, всё... не работает. Почему? Баг? Фича?

Написано более трёх лет назад
Кирилл Васильев @vasilevkirill

Андрей: что в логах пишет в этот момент?

Написано более трёх лет назад
Андрей @andrey71 Автор вопроса

Кирилл Васильев: Если не расширенный ipsec, то пишет вот что:
15:10:00 l2tp,ppp,info,account test logged in, 10.10.1.2
15:10:00 l2tp,ppp,info : authenticated
15:10:00 l2tp,ppp,info : connected
15:10:00 l2tp,ppp,info : using encoding - MPPE128 stateless
15:10:02 ipsec,info respond new phase 1 (Identity Protection): 192.168.83.124[500]<=>192.168.83.123[500]

15:10:04 ipsec,info ISAKMP-SA established 192.168.83.124[500]-192.168.83.123[500] spi:0b58c00105c0b35e:f
388321f670f8e40

Если расширенный то:

21:48:48 l2tp,ppp,info : authenticated
21:48:48 l2tp,ppp,info : connected
21:48:48 l2tp,ppp,info : using encoding - MPPE128 stateless
21:50:49 system,info log rule added by admin
21:52:11 ipsec,debug 192.168.83.123 DPD monitoring....
21:52:11 ipsec,debug compute IV for phase2
21:52:11 ipsec,debug phase1 last IV:
21:52:11 ipsec,debug 330f1dc2 6460f01e de965bac f14d5b5d df9a8145
21:52:11 ipsec,debug hash(sha1)
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug phase2 IV computed:
21:52:11 ipsec,debug c1c4db9c d2f8fe7a ce04bf25 aacf2fee
21:52:11 ipsec,debug HASH with:
21:52:11 ipsec,debug df9a8145 00000020 00000001 01108d28 0b58c001 05c0b35e f388321f 670f8e40
21:52:11 ipsec,debug 00000b7f
21:52:11 ipsec,debug hmac(hmac_sha1)
21:52:11 ipsec,debug HASH computed:
21:52:11 ipsec,debug 62200efb 4212351b 3e38655f 51f220c5 55f5af26
21:52:11 ipsec,debug begin encryption.
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug pad length = 8
21:52:11 ipsec,debug 0b000018 62200efb 4212351b 3e38655f 51f220c5 55f5af26 00000020 00000001
21:52:11 ipsec,debug 01108d28 0b58c001 05c0b35e f388321f 670f8e40 00000b7f e824355d b0f20307
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug with key:
21:52:11 ipsec,debug 6098e8c0 fba293c5 bd59fc8d f9e3fcf7 822bcd9f 03be96ab f54d066c 52b26a4a
21:52:11 ipsec,debug encrypted payload by IV:
21:52:11 ipsec,debug c1c4db9c d2f8fe7a ce04bf25 aacf2fee
21:52:11 ipsec,debug save IV for next:
21:52:11 ipsec,debug f43fe234 d4eb48a1 2032ddb1 eca0e8d3
21:52:11 ipsec,debug encrypted.
21:52:11 ipsec,debug 92 bytes from 192.168.83.124[500] to 192.168.83.123[500]
21:52:11 ipsec,debug 1 times of 92 bytes message will be sent to 192.168.83.123[500]
21:52:11 ipsec,debug,packet 0b58c001 05c0b35e f388321f 670f8e40 08100501 df9a8145 0000005c b7b47a14
21:52:11 ipsec,debug,packet 5c7642cd 9d11d79e ef653fe9 b2fcb7f2 bd7d2506 25a65148 26528ef3 ec9c8851
21:52:11 ipsec,debug,packet bd9e282c b68eef55 40ae3ae8 f43fe234 d4eb48a1 2032ddb1 eca0e8d3
21:52:11 ipsec sendto Information notify.
21:52:11 ipsec,debug 192.168.83.123 DPD R-U-There sent (0)
21:52:11 ipsec,debug 192.168.83.123 rescheduling send_r_u (5).
21:52:11 ipsec,debug ===== received 92 bytes from 192.168.83.123[500] to 192.168.83.124[500]
21:52:11 ipsec,debug,packet 0b58c001 05c0b35e f388321f 670f8e40 08100501 df2f7845 0000005c 168d1d51
21:52:11 ipsec,debug,packet de25c729 5aa538e8 06693566 6e096d28 7e9cf23c 09e3c4c7 98cfc658 8767a187
21:52:11 ipsec,debug,packet b4e73a5c 7d5a9391 0f1ffd6c cc4b0377 e2b42c2a 69eb9fa0 4cdbd40f
21:52:11 ipsec receive Information.
21:52:11 ipsec,debug compute IV for phase2
21:52:11 ipsec,debug phase1 last IV:
21:52:11 ipsec,debug 330f1dc2 6460f01e de965bac f14d5b5d df2f7845
21:52:11 ipsec,debug hash(sha1)
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug phase2 IV computed:
21:52:11 ipsec,debug dc81d5c8 d8aab30d 95e75e8a 1185d44f
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug IV was saved for next processing:
21:52:11 ipsec,debug cc4b0377 e2b42c2a 69eb9fa0 4cdbd40f
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug with key:
21:52:11 ipsec,debug 6098e8c0 fba293c5 bd59fc8d f9e3fcf7 822bcd9f 03be96ab f54d066c 52b26a4a
21:52:11 ipsec,debug decrypted payload by IV:
21:52:11 ipsec,debug dc81d5c8 d8aab30d 95e75e8a 1185d44f
21:52:11 ipsec,debug decrypted payload, but not trimed.
21:52:11 ipsec,debug 0b000018 0e4befdf 2abcf217 ab4c9a10 512526e6 992072f9 00000020 00000001
21:52:11 ipsec,debug 01108d29 0b58c001 05c0b35e f388321f 670f8e40 00000b7f 7b5d8f99 6c27e507
21:52:11 ipsec,debug padding len=8
21:52:11 ipsec,debug skip to trim padding.
21:52:11 ipsec,debug decrypted.
21:52:11 ipsec,debug 0b58c001 05c0b35e f388321f 670f8e40 08100501 df2f7845 0000005c 0b000018
21:52:11 ipsec,debug 0e4befdf 2abcf217 ab4c9a10 512526e6 992072f9 00000020 00000001 01108d29
21:52:11 ipsec,debug 0b58c001 05c0b35e f388321f 670f8e40 00000b7f 7b5d8f99 6c27e507
21:52:11 ipsec,debug HASH with:
21:52:11 ipsec,debug df2f7845 00000020 00000001 01108d29 0b58c001 05c0b35e f388321f 670f8e40
21:52:11 ipsec,debug 00000b7f
21:52:11 ipsec,debug hmac(hmac_sha1)
21:52:11 ipsec,debug HASH computed:
21:52:11 ipsec,debug 0e4befdf 2abcf217 ab4c9a10 512526e6 992072f9
21:52:11 ipsec,debug hash validated.
21:52:11 ipsec,debug begin.
21:52:11 ipsec,debug seen nptype=8(hash) len=24
21:52:11 ipsec,debug seen nptype=11(notify) len=32
21:52:11 ipsec,debug succeed.
21:52:11 ipsec 192.168.83.123 notify: R_U_THERE_ACK
21:52:11 ipsec,debug 192.168.83.123 DPD R-U-There-Ack received
21:52:11 ipsec,debug received an R-U-THERE-ACK
21:52:11 ipsec,debug ===== received 92 bytes from 192.168.83.123[500] to 192.168.83.124[500]
21:52:11 ipsec,debug,packet 0b58c001 05c0b35e f388321f 670f8e40 08100501 f404f0a0 0000005c 60927352
21:52:11 ipsec,debug,packet 1d5d89d2 6112f3fb 813c5f08 4460914e b83cd34c 2206b79f 70b2ed7d 29eea4ae
21:52:11 ipsec,debug,packet a8aa6847 1bc0a530 7e000610 bed2c11d ad56d169 08725a73 2e155418
21:52:11 ipsec receive Information.
21:52:11 ipsec,debug compute IV for phase2
21:52:11 ipsec,debug phase1 last IV:
21:52:11 ipsec,debug 330f1dc2 6460f01e de965bac f14d5b5d f404f0a0
21:52:11 ipsec,debug hash(sha1)
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug phase2 IV computed:
21:52:11 ipsec,debug 19c79d81 645e8891 fcf9f021 849ae89b
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug IV was saved for next processing:
21:52:11 ipsec,debug bed2c11d ad56d169 08725a73 2e155418
21:52:11 ipsec,debug encryption(aes)
21:52:11 ipsec,debug with key:
21:52:11 ipsec,debug 6098e8c0 fba293c5 bd59fc8d f9e3fcf7 822bcd9f 03be96ab f54d066c 52b26a4a
21:52:11 ipsec,debug decrypted payload by IV:
21:52:11 ipsec,debug 19c79d81 645e8891 fcf9f021 849ae89b
21:52:11 ipsec,debug decrypted payload, but not trimed.
21:52:11 ipsec,debug 0b000018 04a31f8a 817881d8 d3a8896d 724eb0db 3f776631 00000020 00000001
21:52:11 ipsec,debug 01108d28 0b58c001 05c0b35e f388321f 670f8e40 00000ee7 c5910108 4b0adc07
21:52:11 ipsec,debug padding len=8
21:52:11 ipsec,debug skip to trim padding.
21:52:11 ipsec,debug decrypted.
21:52:11 ipsec,debug 0b58c001 05c0b35e f388321f 670f8e40 08100501 f404f0a0 0000005c 0b000018
21:52:11 ipsec,debug 04a31f8a 817881d8 d3a8896d 724eb0db 3f776631 00000020 00000001 01108d28
21:52:11 ipsec,debug 0b58c001 05c0b35e f388321f 670f8e40 00000ee7 c5910108 4b0adc07
21:52:11 ipsec,debug HASH with:
21:52:11 ipsec,debug f404f0a0 00000020 00000001 01108d28 0b58c001 05c0b35e f388321f 670f8e40
21:52:11 ipsec,debug 00000ee7
21:52:11 ipsec,debug hmac(hmac_sha1)
21:52:11 ipsec,debug HASH computed:
21:52:11 ipsec,debug 04a31f8a 817881d8 d3a8896d 724eb0db 3f776631
21:52:11 ipsec,debug hash validated.
21:52:11 ipsec,debug begin.
21:52:11 ipsec,debug seen nptype=8(hash) len=24
21:52:11 ipsec,debug seen nptype=11(notify) len=32
21:52:11 ipsec,debug succeed.
21:52:11 ipsec 192.168.83.123 notify: R_U_THERE
21:52:11 ipsec,debug 192.168.83.123 DPD R-U-There received

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Простой
Как пробросить RTSP видеопоток в другую подсеть?
- 1 подписчик
- вчера
- 137 просмотров
1

ответ
Компьютерные сети

+2 ещё

Простой
Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?
- 2 подписчика
- вчера
- 298 просмотров
1

ответ
Mikrotik

Простой
Степень изношенности NAND-памяти Mikrotik?
- 1 подписчик
- вчера
- 168 просмотров
0

ответов
Компьютерные сети

+4 ещё

Средний
Как сделать сервер видимый для рабочей группы в другой сети?
- 2 подписчика
- вчера
- 238 просмотров
4

ответа
Компьютерные сети

+3 ещё

Средний
Как получить полную скорость от cisco 2921?
- 1 подписчик
- 20 апр.
- 165 просмотров
2

ответа
Mikrotik

+1 ещё

Средний
Firewall Mikrotik правило блокировки по портам заблокировал магазин хром, почему?
- 3 подписчика
- 19 апр.
- 470 просмотров
0

ответов
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 18 апр.
- 128 просмотров
2

ответа
Сетевое администрирование

+2 ещё

Средний
Логирование посещения сайтов windows server 2008, 2008 R2, 2019?
- 1 подписчик
- 17 апр.
- 159 просмотров
0

ответов
Windows Server

+2 ещё

Средний
Как восстановить работу Active Directory в связке Mikrotik + Windows Server?
- 2 подписчика
- 17 апр.
- 234 просмотра
1

ответ
Компьютерные сети

+2 ещё

Простой
Какой набор оборудования нужен для соединения двух роутеров Mikrotik RouterBOARD 2011iL на расстоянии более 120 м?
- 3 подписчика
- 16 апр.
- 3876 просмотров
6

ответов
Показать ещё Загружается…

Специалист технической поддержки (работа из офиса г.Казань)

Данафлекс • Казань

от 60 000 ₽

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Эксперт Oracle DBA

Softline • Москва

от 300 000 ₽

Собрать семантическое ядро + ТЗ копирайтеру для крупного сайта

23 апр. 2024, в 21:40

20000 руб./за проект

Реализовать редирект запросов в Chrome Extension Manifest v3

23 апр. 2024, в 21:14

1000 руб./за проект

Переместить сайт написанный на HTML, на python flask

23 апр. 2024, в 21:03

3000 руб./за проект

Кирилл Васильев: Кирилл, спасибо за отклик! Всю конфигурацию добавил в вопрос.
Андрей: не вижу где вы в фильтре разрешаете ipsec ?
Кирилл Васильев: Кирилл, я не разрешал их явно. Просто отключил все "дропы". Но после того, как добавил правила явно, ничего не поменялось :(

add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input dst-port=500,4500 protocol=udp
На клиенте такие же изменения вношу.
Андрей: покажите на сервере /ip route print
Кирилл Васильев: Вот:

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.83.254 1
1 ADo 10.10.1.1/32 10.10.1.2 110
2 ADC 10.10.1.2/32 10.10.1.1 0
3 ADC 192.168.83.0/24 192.168.83.124 ether1-gateway 0
4 ADo 192.168.88.0/24 10.10.1.2 110
5 ADC 192.168.99.0/24 192.168.99.254 ether2-master-l... 0
[admin@MikroTik] /ip route>

Хосты за маршрутизаторами пингуются без проблем.
Андрей: а что собственно вас не работает ? маршруты ospf есть, что вам ешё надо?
Кирилл Васильев: Я бы очень хотел шифровать трафик, имея при этом динамическую маршрутизацию и динамические политики ipsec. По отдельности всё работает. без ospf - работает ipsec, как только включаю ospf, всё... не работает. Почему? Баг? Фича?
Андрей: что в логах пишет в этот момент?

Answer 1 · 2017-01-31 13:03:20

Чудо!!! Чудо из чудес произошло!

Отчаившись и практически сев за написание статических маршрутов, я попробовал поиграться с прошивками.

И после перебора версий, всё заработало на такой связке:

Сервер - 6.39rc20
Клиент - 6.37.4 bugfix only

Всё динамически. Всё шифруется. Ура!

Спасибо всем, кто откликнулся! Благодаря Вам, я был уверен, что делаю всё правильно!

Почему отключается шифрование когда включаю динамическую маршрутизацию?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт