Microtik IPSec to Fortigate 40C

wszystko inne - NIE licząc sprzętu typu SOHO!!!
ODPOWIEDZ
Wiadomość
Autor
martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Microtik IPSec to Fortigate 40C

#1

#1 Post autor: martino76 »

Witam,

Na wstepie zaznacze, ze nigdy nie mialem do czynienia z Mikrotik i to jest moje pierwsze spotkanie z ta platforma :)

Probuje zestawic IPsec tunnel pomiedzy Mikrotik a Fortigate40C a topologia wyglada wnastepujacy sposob. Nie mam dostepu do Fortigate oraz rutera gdzie jest robiony NAT do 195.171.x.x.


Jesli chodzi o ustawienia Phase1 oraz Phase2 dostalem wytyczne od strony gdzie jest Fortigate i zostalo to sprawdzone i wyglada na to, ze konfiguracja jest taka sama po obu stronach.

Obrazek

Widze ze Phase1 mi sie zestawia i jest established jak ponizej

Kod: Zaznacz cały

 ip ipsec remote-peers print 
 0 local-address=10.57.68.3 port=4500 remote-address=82.20.x.x port=4500 state=established 
   side=initiator established=28m11s


Kiedy wykonuje ping z sieci 10.1.3.0 do sieci 10.1.9.0 w logach widze nastepujacy blad

Kod: Zaznacz cały

08:06:35 ipsec,debug new acquire 10.57.68.3[0]<=>82.20.x.x[0] 
08:06:35 ipsec,debug suitable outbound SP found: 10.1.3.0/24[0] 10.1.9.0/24[0] proto=any dir=out 
08:06:35 ipsec,debug suitable inbound SP found: 10.1.9.0/24[0] 10.1.3.0/24[0] proto=any dir=in 
08:06:35 ipsec,debug,packet  (proto_id=AH spisize=4 spi=00000000 spi_p=00000000 encmode=Tunnel reqid=
0:0) 
08:06:35 ipsec,debug,packet   (trns_id=SHA authtype=hmac-sha1) 
08:06:35 ipsec,debug,packet  (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Tunnel reqid
=0:0) 
08:06:35 ipsec,debug,packet   (trns_id=3DES encklen=0 authtype=hmac-sha1) 
08:06:35 ipsec,debug,packet begin QUICK mode. 
08:06:35 ipsec,debug,packet === 
08:06:35 ipsec,debug,packet begin QUICK mode. 
08:06:35 ipsec,debug initiate new phase 2 negotiation: 10.57.68.3[0]<=>82.20.x.x[0]
.
.
.
.
08:06:36 ipsec,debug proto_id mismathed: my:2 peer:3 
08:06:36 ipsec,debug proposal mismathed.
Konfiguracja Proposal wyglada w nastepujacy sposob

Kod: Zaznacz cały

ip ipsec proposal print 
Flags: X - disabled, * - default 
 1    name="M7" auth-algorithms=sha1 enc-algorithms=3des,aes-128-cbc lifetime=12h pfs-group=none
Po drugiej stronie sa nastepujace ustawienia przynajmniej takie mi podeslali encryption 3DES oraz authentication SHA1 Key Lifetime ustawiony na 43200s i maja wylaczone PFS.

Moze ktos mial podobny problem i wie co jest blednie skonfigurowane, albo co dokladnie oznacza w debugu proto-id my:2


[EDIT] proto-id odnosi sie do AH lub ESP to wynika z logow dobra sprawdze raz jescze z druga strona czy maja takie same ustawienia.


Pozdro,
Na górę
Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:
Skontaktuj się z Kyniu

Re: Microtik IPSec to Fortigate 40C

#2

#2 Post autor: Kyniu »

martino76 pisze:Na wstepie zaznacze, ze nigdy nie mialem do czynienia z Mikrotik i to jest moje pierwsze spotkanie z ta platforma :)
Jak cenisz swój czas, zdrowie i tak dalej, to na tym zakończ tą przygodę, Mikrotika pomaluj na zielono* i wywal w wysoką trawę a w jego miejsce postaw cokolwiek, co robił ktoś z głową, kto zna sieci, zna terminologię, nie odkrywa ameryki na nowo, nie wyważa otwartych drzwi i trzyma się standardów.

* żeby go nikt nie znalazł i sobie krzywdy nie zrobił.
Na górę
saiqard
wannabe
wannabe
Posty: 385
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

Re: Microtik IPSec to Fortigate 40C

#3

#3 Post autor: saiqard »

Kyniu pisze:
martino76 pisze:Na wstepie zaznacze, ze nigdy nie mialem do czynienia z Mikrotik i to jest moje pierwsze spotkanie z ta platforma :)
Jak cenisz swój czas, zdrowie i tak dalej, to na tym zakończ tą przygodę, Mikrotika pomaluj na zielono* i wywal w wysoką trawę a w jego miejsce postaw cokolwiek, co robił ktoś z głową, kto zna sieci, zna terminologię, nie odkrywa ameryki na nowo, nie wyważa otwartych drzwi i trzyma się standardów.

* żeby go nikt nie znalazł i sobie krzywdy nie zrobił.
Masz jakieś doświadczenia i praktyczne przykłady w których mikrotick się wykłada? takie, które można przedłożyć menagmentowi:)
Na górę
martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: Microtik IPSec to Fortigate 40C

#4

#4 Post autor: martino76 »

Kyniu pisze:
martino76 pisze:Na wstepie zaznacze, ze nigdy nie mialem do czynienia z Mikrotik i to jest moje pierwsze spotkanie z ta platforma :)
Jak cenisz swój czas, zdrowie i tak dalej, to na tym zakończ tą przygodę, Mikrotika pomaluj na zielono* i wywal w wysoką trawę a w jego miejsce postaw cokolwiek, co robił ktoś z głową, kto zna sieci, zna terminologię, nie odkrywa ameryki na nowo, nie wyważa otwartych drzwi i trzyma się standardów.

* żeby go nikt nie znalazł i sobie krzywdy nie zrobił.
Chetnie bym to zrobil, uwierz mi nawet bym sie nad tym nie zastanawial ale to nie moje pudelko :)

Pozdro,
Na górę
dl.wi
fresh
fresh
Posty: 2
Rejestracja: 03 mar 2012, 23:43

Re: Microtik IPSec to Fortigate 40C

#5

#5 Post autor: dl.wi »

saiqard pisze:
Kyniu pisze:
martino76 pisze:Na wstepie zaznacze, ze nigdy nie mialem do czynienia z Mikrotik i to jest moje pierwsze spotkanie z ta platforma :)
Jak cenisz swój czas, zdrowie i tak dalej, to na tym zakończ tą przygodę, Mikrotika pomaluj na zielono* i wywal w wysoką trawę a w jego miejsce postaw cokolwiek, co robił ktoś z głową, kto zna sieci, zna terminologię, nie odkrywa ameryki na nowo, nie wyważa otwartych drzwi i trzyma się standardów.

* żeby go nikt nie znalazł i sobie krzywdy nie zrobił.
Masz jakieś doświadczenia i praktyczne przykłady w których mikrotick się wykłada? takie, które można przedłożyć menagmentowi:)
Ja niestety miałem do czynienia z Mikrotik i IPSec i w 99% przypadkach, był problem żeby zapiąć tunel z innym urządzeniem, nawet gdy tunel był konfigurowamy pomiędzy dwoma mikrotikami, a jak już udało się zapiąć to po kilku godzinach tunel padał i był ogromny problem żeby podniósł się ponownie. Problem był mianowicie z SA, bo niestety ale Mikrotik nie był w stanie usunać starych SA i w ich miejsce wstawić nowych. Ponoć to był bug który poźniej został rozwiązany, niestety nie jestem w stanie tego potwierdzić, bo już nie pracuje na tych urządzeniach.
Na górę
martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: Microtik IPSec to Fortigate 40C

#6

#6 Post autor: martino76 »

dl.wi pisze:
saiqard pisze:
Kyniu pisze: Jak cenisz swój czas, zdrowie i tak dalej, to na tym zakończ tą przygodę, Mikrotika pomaluj na zielono* i wywal w wysoką trawę a w jego miejsce postaw cokolwiek, co robił ktoś z głową, kto zna sieci, zna terminologię, nie odkrywa ameryki na nowo, nie wyważa otwartych drzwi i trzyma się standardów.

* żeby go nikt nie znalazł i sobie krzywdy nie zrobił.
Masz jakieś doświadczenia i praktyczne przykłady w których mikrotick się wykłada? takie, które można przedłożyć menagmentowi:)
Ja niestety miałem do czynienia z Mikrotik i IPSec i w 99% przypadkach, był problem żeby zapiąć tunel z innym urządzeniem, nawet gdy tunel był konfigurowamy pomiędzy dwoma mikrotikami, a jak już udało się zapiąć to po kilku godzinach tunel padał i był ogromny problem żeby podniósł się ponownie. Problem był mianowicie z SA, bo niestety ale Mikrotik nie był w stanie usunać starych SA i w ich miejsce wstawić nowych. Ponoć to był bug który poźniej został rozwiązany, niestety nie jestem w stanie tego potwierdzić, bo już nie pracuje na tych urządzeniach.
Dalem sobie z tym spokoj powiedzialem, ze albo dadza mi Cisco albo nie bedzie tunnelu :)


Temat do zamkniecia


Pozdro,
Na górę
kefear
wannabe
wannabe
Posty: 76
Rejestracja: 19 lis 2009, 19:41

Re: Microtik IPSec to Fortigate 40C

#7

#7 Post autor: kefear »

dl.wi pisze:
saiqard pisze:
Kyniu pisze: Jak cenisz swój czas, zdrowie i tak dalej, to na tym zakończ tą przygodę, Mikrotika pomaluj na zielono* i wywal w wysoką trawę a w jego miejsce postaw cokolwiek, co robił ktoś z głową, kto zna sieci, zna terminologię, nie odkrywa ameryki na nowo, nie wyważa otwartych drzwi i trzyma się standardów.

* żeby go nikt nie znalazł i sobie krzywdy nie zrobił.
Masz jakieś doświadczenia i praktyczne przykłady w których mikrotick się wykłada? takie, które można przedłożyć menagmentowi:)
Ja niestety miałem do czynienia z Mikrotik i IPSec i w 99% przypadkach, był problem żeby zapiąć tunel z innym urządzeniem, nawet gdy tunel był konfigurowamy pomiędzy dwoma mikrotikami, a jak już udało się zapiąć to po kilku godzinach tunel padał i był ogromny problem żeby podniósł się ponownie. Problem był mianowicie z SA, bo niestety ale Mikrotik nie był w stanie usunać starych SA i w ich miejsce wstawić nowych. Ponoć to był bug który poźniej został rozwiązany, niestety nie jestem w stanie tego potwierdzić, bo już nie pracuje na tych urządzeniach.
Ja ostatnio zestawiłem tunel z mana w 5 minut, więc chyba się da. Kupa WISPów tego używa i nie tylko więc nie jest to taki zły budżetowy sprzęt.
Na górę
Awatar użytkownika
krisator
wannabe
wannabe
Posty: 446
Rejestracja: 06 maja 2005, 18:35

#8

#8 Post autor: krisator »

Ja mam doświadczenie z mikrotikami i nie ma problemu z IPSec VPNs jesli sie poczyta release notes do konkretnych wersji softu - wiem z doswiadczenia ze niektore mialy problem zeby tunel sie zapial nawet miedzy 2 mikrotikami...

Ale ogolnie to nie powiem, tanie i dziala, choc oczywiscie lepiej zeby Cisco postawic jesli masz taka mozliwosc - debuggowanie mikrotika to koszmar i zmiany z wersji na wersje w sofcie potrafia miec dramatyczne skutki na produkcji...


pozdrawiam,
K.
Na górę
ODPOWIEDZ

Wróć do „Pozostałe”