Mi trovo con una situazione particolare. Sto cercando di fare una IPsec tra due reti (di cui una non in mia gestione). Si tratta di interconnettere mediante IPsec un Mikrotik con un router Cisco. Ho provveduto a configurare sul Mikrotik Peer, Identity, Profile, Policy e Proposal in linea con le informazioni che mi sono state fornite da chi gestisce la parte Cisco. Il problema che riscontro è che la parte di handshake della Phase1 non avviene bloccandosi in stato "message 3 sent" e poi andando in "Timeout" per assenza di risposta. Qualcuno riuscirebbe a darmi qualche suggerimento per cercare di capire la problematica?

    ElCresh
    Dall'altra parte vedono arrivare i pacchetti ?
    Hai messo le regole nel firewall ?

        Technetium Dall'altra parte non vedono arrivare il traffico.

        La regola l'ho creata sia custom (su porta 500) sia c'è l'abilitazione di default che importa il Mikrotik. Immagino però sia qui da qualche parte l'inghippo.

            ElCresh
            Serve sia la 500 che la 4500.
            Hai messo le regola di srcnat accept tra le due reti ?

              Si la regola di SRCNAT è attiva:

              Ho aggiunto anche la regola per la 4500 ma immagino che non faccia traffico fino alla Phase2.

              Ah ok.. non avevo fatto caso. Hai fasttrack abilitato. O lo disabiliti/modifichi o crei delle regole di Mangle per escludere le ipsec dal fasttrack.

                Provo con una cosa banale (da questa pagina https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Troubleshooting/FAQ), non volermene:
                /ip firewall raw
                add action=notrack chain=prerouting src-address=192.168.16.0/24 dst-address=192.168.17.0/24
                add action=notrack chain=prerouting src-address=192.168.17.0/24 dst-address=192.168.16.0/24

                Che andrebbero a sostituire le tue regole di forward ipsec della configurazione di default prima del fasttrack.

                Inoltre, dovresti provare, sempre da quella pagina:
                Note: If you previously tried to establish an IP connection before NAT bypass rule was added, you have to clear connection table from existing connection or restart both routers.
                Col both routers che si riferisce a un tunnel tra due router mikrotik.

                Anyway, se vuoi, puoi anche fare un export hide-sensitive e magari qualcuno esperto vede cosa non va.

                  • ElCresh

                  • Autore
                  • GO internet
                  • Messaggio #8
                  • Modificato

                  Technetium Perdonami ma non sono proprio espertissimo (però mi ci sono trovato un po' in mezzo in questa configurazione). Come dovrei configurare i parametri delle regole di Mangle?

                  harbinger Ho provato ma sembra non abbia sortito effetto.

                  Ho messo sotto spoiler l'export della config

                  Premi per mostrare Premi per nascondere

                  model = RB5009UG+S+
                  /ip firewall filter
                  add action=accept chain=input comment=";; IPsec port 500" dst-port=500 protocol=udp
                  add action=accept chain=input comment="IPsec port 4500" dst-port=4500 protocol=udp
                  add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
                  add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
                  add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
                  add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
                  add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
                  add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
                  add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
                  add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
                  add action=accept chain=forward comment=\"defconf: accept established,related, untracked" connection-state=established,related,untracked
                  add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
                  add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
                  /ip firewall nat
                  add action=accept chain=srcnat dst-address=192.168.170.168/29 src-address=192.168.168.0/24
                  add action=masquerade chain=srcnat comment="defconf: masquerade"ipsec-policy=out,none out-interface-list=WAN
                  add action=dst-nat chain=dstnat dst-port=3389 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.210 to-ports=3389
                  /ip firewall raw
                  add action=notrack chain=prerouting dst-address=192.168.170.168/29 src-address=192.168.168.0/24
                  add action=notrack chain=prerouting dst-address=192.168.168.0/24 src-address=192.168.170.168/29
                  /ip firewall service-port
                  set ftp disabled=yes
                  set tftp disabled=yes

                        ElCresh sulla identity hai mode config none? Esporta anche la config della ipsec

                            Dixenberg Nella mode config ho lasciato il campo senza nulla selezioneato.

                            Config IPsec (ho mascherato gli IP pubblici):

                            Premi per mostrare Premi per nascondere

                            /ip ipsec policy group
                            add name=vpn
                            /ip ipsec profile
                            set [ find default=yes ] dh-group=modp1024 dpd-interval=30s dpd-maximum-failures=10 enc-algorithm=aes-128
                            add dh-group=modp1536,modp1024 enc-algorithm=aes-128 name=vpn-profile
                            /ip ipsec peer
                            add address=RE.MO.TE.XX/32 local-address=LO.CA.LE.YY name=vpn-peer profile=vpn-profile
                            /ip ipsec proposal
                            set [ find default=yes ] disabled=yes
                            add enc-algorithms=aes-128-cbc,aes-128-ctr,aes-128-gcm lifetime=8h name=vpn-proposal pfs-group=none
                            /ip ipsec identity
                            add peer=vpn-peer
                            /ip ipsec policy
                            set 0 disabled=yes
                            add dst-address=192.168.169.0/24 peer=vpn-peer proposal=vpn-proposal src-address=192.168.170.168/29 tunnel=yes

                              Il router mikrotik è connesso direttamente o è una sotto rete di un altro router/modem ?

                              Hai disabilitato il fasttrack o messo le regole mangle per evitarlo ?

                              Technetium Hai fasttrack abilitato. O lo disabiliti/modifichi o crei delle regole di Mangle per escludere le ipsec dal fasttrack.

                              Non serve disattivarlo, basta che le regole per IPSec siano sopra quella di fasttrack.

                                Grazie a tutti per il supporto, alla fine il problema era un mix di Fasttrack (che ho disabilitato) e PSK errata. Il tutto sembrava peggio del previsto perchè l'interlocutore per qualche motivo non sapeva vedere correttamente i log del Cisco e quindi diceva che non arrivava nessun pacchetto dalla nostra rete (nemmeno il tentativo di autenticazione).

                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                P.I. IT16712091004 - info@fibraclick.it

                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile