Mikrotik IPsec site-to-site - Connection Timeout

ElCresh

Mi trovo con una situazione particolare. Sto cercando di fare una IPsec tra due reti (di cui una non in mia gestione). Si tratta di interconnettere mediante IPsec un Mikrotik con un router Cisco. Ho provveduto a configurare sul Mikrotik Peer, Identity, Profile, Policy e Proposal in linea con le informazioni che mi sono state fornite da chi gestisce la parte Cisco. Il problema che riscontro è che la parte di handshake della Phase1 non avviene bloccandosi in stato "message 3 sent" e poi andando in "Timeout" per assenza di risposta. Qualcuno riuscirebbe a darmi qualche suggerimento per cercare di capire la problematica?

Technetium

ElCresh
Dall'altra parte vedono arrivare i pacchetti ?
Hai messo le regole nel firewall ?

ElCresh

Technetium Dall'altra parte non vedono arrivare il traffico.

La regola l'ho creata sia custom (su porta 500) sia c'è l'abilitazione di default che importa il Mikrotik. Immagino però sia qui da qualche parte l'inghippo.

Technetium

ElCresh
Serve sia la 500 che la 4500.
Hai messo le regola di srcnat accept tra le due reti ?

ElCresh

Si la regola di SRCNAT è attiva:

Ho aggiunto anche la regola per la 4500 ma immagino che non faccia traffico fino alla Phase2.

Technetium

Ah ok.. non avevo fatto caso. Hai fasttrack abilitato. O lo disabiliti/modifichi o crei delle regole di Mangle per escludere le ipsec dal fasttrack.

ElCresh

Technetium Perdonami ma non sono proprio espertissimo (però mi ci sono trovato un po' in mezzo in questa configurazione). Come dovrei configurare i parametri delle regole di Mangle?

harbinger Ho provato ma sembra non abbia sortito effetto.

Ho messo sotto spoiler l'export della config

Premi per mostrare Premi per nascondere

model = RB5009UG+S+
/ip firewall filter
add action=accept chain=input comment=";; IPsec port 500" dst-port=500 protocol=udp
add action=accept chain=input comment="IPsec port 4500" dst-port=4500 protocol=udp
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\"defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.170.168/29 src-address=192.168.168.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade"ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=3389 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.210 to-ports=3389
/ip firewall raw
add action=notrack chain=prerouting dst-address=192.168.170.168/29 src-address=192.168.168.0/24
add action=notrack chain=prerouting dst-address=192.168.168.0/24 src-address=192.168.170.168/29
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes

GioAda

Technetium Hai fasttrack abilitato. O lo disabiliti/modifichi o crei delle regole di Mangle per escludere le ipsec dal fasttrack.

Non serve disattivarlo, basta che le regole per IPSec siano sopra quella di fasttrack.

harbinger

Provo con una cosa banale (da questa pagina https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Troubleshooting/FAQ), non volermene:
/ip firewall raw
add action=notrack chain=prerouting src-address=192.168.16.0/24 dst-address=192.168.17.0/24
add action=notrack chain=prerouting src-address=192.168.17.0/24 dst-address=192.168.16.0/24

Che andrebbero a sostituire le tue regole di forward ipsec della configurazione di default prima del fasttrack.

Inoltre, dovresti provare, sempre da quella pagina:
Note: If you previously tried to establish an IP connection before NAT bypass rule was added, you have to clear connection table from existing connection or restart both routers.
Col both routers che si riferisce a un tunnel tra due router mikrotik.

Anyway, se vuoi, puoi anche fare un export hide-sensitive e magari qualcuno esperto vede cosa non va.

Dixenberg

ElCresh sulla identity hai mode config none? Esporta anche la config della ipsec

ElCresh

Dixenberg Nella mode config ho lasciato il campo senza nulla selezioneato.

Config IPsec (ho mascherato gli IP pubblici):

Premi per mostrare Premi per nascondere

/ip ipsec policy group
add name=vpn
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 dpd-interval=30s dpd-maximum-failures=10 enc-algorithm=aes-128
add dh-group=modp1536,modp1024 enc-algorithm=aes-128 name=vpn-profile
/ip ipsec peer
add address=RE.MO.TE.XX/32 local-address=LO.CA.LE.YY name=vpn-peer profile=vpn-profile
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add enc-algorithms=aes-128-cbc,aes-128-ctr,aes-128-gcm lifetime=8h name=vpn-proposal pfs-group=none
/ip ipsec identity
add peer=vpn-peer
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.169.0/24 peer=vpn-peer proposal=vpn-proposal src-address=192.168.170.168/29 tunnel=yes

Technetium

Il router mikrotik è connesso direttamente o è una sotto rete di un altro router/modem ?

Hai disabilitato il fasttrack o messo le regole mangle per evitarlo ?

ElCresh

Grazie a tutti per il supporto, alla fine il problema era un mix di Fasttrack (che ho disabilitato) e PSK errata. Il tutto sembrava peggio del previsto perchè l'interlocutore per qualche motivo non sapeva vedere correttamente i log del Cisco e quindi diceva che non arrivava nessun pacchetto dalla nostra rete (nemmeno il tentativo di autenticazione).

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile