IPSEC con ip nattato

[senzatempo]

Ciao a tutti e complimenti per il forum

sto cercando di realizzare una vpn IPSEC tra du routeros 5.4
site 1 ip pubblico
site 2 ip nattato (fastweb home, vodafone, tim, etcc..)

devo per forza usare ipsec con pptp naturalmente funziona tutto.

ho trovato una guida che lo da come realizzabile .....

ma non sembra essere efficace.

la guida suggeriva di impostare sul router Ip pub. ip sec peer con 0.0.0.0 con generate policy abilitato
e naturalmente non dichiarare la policy ipsec

ma la vpn non va su ho impostato naturalmente
sul client site 2 send initial contac e come metodo su entrambi aggresive

ma niente dai log di entrambi i router si evince che si ferma sullo scambio ike alla fase uno

Codice: Seleziona tutto

debug site1
23:43:29 ipsec,debug,packet ==========
23:43:29 ipsec,debug,packet 496 bytes message received from 109.114.61.245[947] to
xxx.xxx.xxx.xxx[500]
23:43:29 ipsec,debug,packet a612cbca 60473ecf 00000000 00000000 01100400 00000000
000001f0 04000038
23:43:29 ipsec,debug,packet 00000001 00000001 0000002c 01010001 00000024 01010000
800b0001 000c0004
23:43:29 ipsec,debug,packet 00015180 80010005 80030001 80020001 80040002 0a000084
c74f0888 85af678d
23:43:29 ipsec,debug,packet ab2c45ac 14df1dfa a6c0ded9 b40cafdc 70b6
23:43:29 ipsec,debug,packet 7a8c c90ad358 9e65d483 fddea1b6
23:43:29 ipsec,debug,packet 50e24022 568899c1 7e90820e 7b7d29be 687de36a b8d19c49
d05434b9 cd2cbca3
23:43:29 ipsec,debug,packet b003c859 3500a99c 1660e167 f7c8f34b 53931926 ce076a4a
1f3a7958 2b4aebc3
23:43:29 ipsec,debug,packet 3934199b ebdc0d20 217b7cd6 dc1df6c2 67984c15 e001c569
0500001c b20f04da
23:43:29 ipsec,debug,packet a5ccb5b2
23:43:29 ipsec,debug,packet  c8d1f559 fa855028 e40fa51b 483a493e 0d00000c 011101f4
c0a8be80
23:43:29 ipsec,debug,packet 0d000014 4a131c81 07035845 5c5728f2 0e95452f 0d000014
8f8d8382 6d246b6f
23:43:29 ipsec,debug,packet c7a8a6a4 28c11de8 0d000014 439b59f8 ba676c4c 7737ae22
eab8f582 0d000014
23:43:29 ipsec,debug,packet 4d1e0e13 6deafa34 c4f3ea9f 02ec7285 0d000014 80d
23:43:29 ipsec,debug,packet 0bb3d ef54565e e84645d4
23:43:29 ipsec,debug,packet c85ce3ee 0d000014 9909b64e ed937c65 73de52ac e952fa6b
0d000014 7d9419a6
23:43:29 ipsec,debug,packet 5310ca6f 2c179d92 15529d56 0d000014 cd604643 35df21f8
7cfdb2fc 68b6a448
23:43:29 ipsec,debug,packet 0d000014 90cb8091 3ebb696e 086381b5 ec427b1f 0d000014
16f6ca16 e4a4066d
23:43:29 ipsec,debug,packet 83821a0f 0aeaa86
23:43:29 ipsec,debug,packet 2 0d000014 4485152d 18b6bbcd 0be8a846 9579ddcc 0000001
4
23:43:29 ipsec,debug,packet afcad713 68a1f1c9 6b8696fc 77570100
23:43:29 ipsec,debug couldn't find configuration.


Codice: Seleziona tutto

debug ipsec site 2 client

01:45:21 ipsec,debug phase2 negotiation failed due to time up waiting for phase1.
ESP x.x.x.x[500]->192.168.190.128[500] 
01:45:21 ipsec,debug delete phase 2 handler.
01:45:22 ipsec,debug no peer config for x.x.x.x
01:45:22 ipsec,debug suitable outbound SP found: 10.10.100.0/24[0] 10.10.9.0/24[0]
proto=any dir=out
01:45:22 ipsec,debug suitable inbound SP found: 10.10.9.0/24[0] 10.10.100.0/24[0]
proto=any dir=in
01:45:22 ipsec,debug new acquire 10.10.100.0/24[0] 10.10.9.0/24[0] proto=any dir=o
ut
01:45:22 ipsec,debug,packet  (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 e
ncmode=Tunnel reqid=0:0)
01:45:22 ipsec,debug,packet   (trns_id=3DES encklen=0 authtype=hmac-sha)
01:45:22 ipsec,debug request for establishing IPsec-SA was queued due to no phase1
found.



naturalmente senza nat (testato da altra connessione con ip pub) ipsec funziona regolarmente con entrambi i router con policies ipsec configurate

qualcuno mi puo aiutare consigliare

inizio ad essere disperato e non voglio credere che non si possa realizzare una connessione ipsec dietro una nat con mkt credo piuttosto nella mia incapacità

grazie a tutti anticipatamente
Senzatempo

[senzatempo]

ciao a tutti

per condividere ...


il mio primo problema era proprio il peer ipsec sul router no nat

riguardando la conf da command ine ho notato che il peer era 0.0.0.0/32 haii haiii ....

impostato a 0.0.0.0/0 il tunnel si instaura fase 1 e fase 2 quindi ho le mie belle sa di andata e di ritorno su entrambi i router

ma c'è ancora qualche problema il tunnel non va ... il ping dal client nat va in timeout non capisco ancora dove si perde

se qualcuno vuole dare uno sguardo alla conf. la posto di seguito

Codice: Seleziona tutto

scenario
Site 1 (HQ) mkt OS 5.4
ETH1 direct internet connection (WAN) HHHH

eth2 (LAN) 10.10.9.130/24

site 2 (client nattato) mkt  os 5.4
ETH1 Internet connection NAT 192 168 190 128 (public ip isp NNNN)
eth2 (LAN) 10.10.100.76/24

configurazioni

Site 1 (HQ)
ETH1 direct internet connection (WAN) HHHH eth2 (LAN) 10.10.9.130/24

[Admin @ site1-HQ] / ip ipsec peer> print
Flags: X - disabled
0 address = 0.0.0.0 / 0 port = 500 auth-method = pre-shared-key secret =
"test"
generate-policy = yes exchange-mode = aggressive send-initial-contact =
no = no nat-traversal
my-id-user-fqdn = "" proposal-check = obey hash-algorithm = md5
enc-algorithm = 3des
dh-group = modp1024 lifetime = 1d = 0 lifebytes DPD-interval =
disable-DPD
DPD-maximum-failures = 1


[Admin @ site1-HQ] / ip ipsec Proposal> print
Flags: X - disabled
0 name = "default" auth-algorithms = sha1 enc-algorithms = 3des lifetime =
30m
pfs-group = modp1024


---Queste sono le policies generate .... e non mi convincono ???? dal debbug d1 e d2 non sono doppioni una è in IN e l'altra è FOWARD ?

[Admin @ site1-HQ] / ip ipsec policy> print
Flags: X - disabled, D - dynamic, I - inactive
D 0 src-address = 10.10.100.0/24 src-port = any dst-address = 10.10.9.0/24
dst-port = any protocol = all

action = encrypt
level = require ipsec-protocols = esp tunnel = yes sa-src-dst-address =
HHHH know-address = NNNN
Proposal = default priority = 2

D 1 src-address = 10.10.100.0/24 src-port = any dst-address = 10.10.9.0/24
dst-port = any protocol = all

action = encrypt
level = require ipsec-protocols = esp tunnel = yes sa-src-dst-address =
HHHH know-address = NNNN
Proposal = default priority = 2

2 D src-address = 10.10.9.0/24 src-port = any dst-address = 10.10.100.0/24
dst-port = any protocol = all

action = encrypt
level = require ipsec-protocols = esp tunnel = yes sa-src-dst-address =
NNNN know-address = HHHH
Proposal = default priority = 2



[Admin @ site1-HQ] / ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0;;; IPSEC site testing leo
action = accept chain = srcnat src-address = 10.10.9.0/24 dst-address =
10.10.100.0/24


____________________________________________________________________________
__________________

Site 2 (Client)

Internet connection eth1 NAT 192 168 190 128 (public ip isp NNNN)
eth2 (LAN) 10.10.100.76/24

[Admin @ MikroTik] / ip ipsec policy> print
Flags: X - disabled, D - dynamic, I - inactive
0 src-address = 10.10.100.0/24 src-port = any dst-address = 10.10.9.0/24
dst-port = any protocol = all action = encrypt level = require
ipsec-protocols = esp tunnel = yes sa-src-address = 192,168,190,128
sa-dst-address = HHHH = default priority = 0 Proposal

[Admin @ MikroTik] / ip ipsec peer> print
Flags: X - disabled
HHHH/32 address = 0 port = 500 auth-method = pre-shared-key
secret = "Topdat.00" generate-policy = no exchange-mode = aggressive
send-initial-contact = yes nat = yes traversal-my-id-user-fqdn = ""
Proposal-check = obey hash-algorithm = md5 enc-algorithm = 3des
dh-group = modp1024 lifetime = 1d = 0 lifebytes DPD-interval =
disable-DPD
DPD-maximum-failures = 1

[Admin @ MikroTik] / ip ipsec Proposal> print
Flags: X - disabled
0 name = "default" auth-algorithms = sha1 enc-algorithms = 3des lifetime =
30m
pfs-group = modp1024


[Admin @ MikroTik] / ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain = srcnat action = accept src-address = 10.10.100.0/24
dst-address = 10.10.9.0/24