你好,我有一个IPSEC IKEv2 VPN设置。主动对等体与阶段2连接。
我可以从LAN1 PC pin雷竞技网站g microtik2的IP地址。
我可以从LAN1 PC ping LAN2上的一些设备。
我可以ping所有设备在自己的局域网从局域网上的microtik。雷竞技网站
我不能ping任何设备从任何microtik到另一个局域网,我得到请求雷竞技网站超时。
我的VPN设置正确,但在某个地方NAT不工作。
谁都知道问题出在哪里。
谢谢
灰
Re: IPSEC IKEv2 VPN ping失败
你好,我有一个IPSEC IKEv2 VPN设置。Active Peer连接完成,PHASE 2建立
我可以从LAN1 PC(192雷竞技网站.168.20.254) ping microtik2 IP(192.168.60.1)地址。
我可以ping通LAN2上的一些设备(例如。192.168.60.21,22=打印机)从LAN1 PC(192.168.20.254)。
我无法ping通LAN2上的一些设备(例如:192.168.60.250,15)从LAN1 PC(192.168.20.254)。
我可以ping所有设备在它自己的局域网从microtik(例如192.168.60.1)雷竞技网站在局域网(例如192.168.60.250,21,22,15)。
我不能ping任何设备从任何microtik(例如192.168.60雷竞技网站.1)到另一个LAN(例如192.168.20.x),我得到请求超时。
我的VPN设置正确,但在某个地方NAT不工作。
有什么问题吗?
我已经设置了3个其他ipsec vpn,都有同样的问题。路由器设置是完全相同的。
我可以从LAN1 PC(192雷竞技网站.168.20.254) ping microtik2 IP(192.168.60.1)地址。
我可以ping通LAN2上的一些设备(例如。192.168.60.21,22=打印机)从LAN1 PC(192.168.20.254)。
我无法ping通LAN2上的一些设备(例如:192.168.60.250,15)从LAN1 PC(192.168.20.254)。
我可以ping所有设备在它自己的局域网从microtik(例如192.168.60.1)雷竞技网站在局域网(例如192.168.60.250,21,22,15)。
我不能ping任何设备从任何microtik(例如192.168.60雷竞技网站.1)到另一个LAN(例如192.168.20.x),我得到请求超时。
我的VPN设置正确,但在某个地方NAT不工作。
有什么问题吗?
我已经设置了3个其他ipsec vpn,都有同样的问题。路由器设置是完全相同的。
Re: IPSEC IKEv2 VPN ping失败
路由器1配置
# jun/14/2022 17:44:12 by l雷竞技RouterOS 6.47.9
# 雷电竞app下载官方版苹果software id = VD2G-7XQB
#
# model = RB941-2nD
#序列号= XXXXXXX
/接口桥
add admin-mac=2C:C8:1B:78:53:8A auto-mac=no comment=defconf name=bridge
/接口的无线
set [find default-name=wlan1] band=2ghz-b/g/n信道宽度=20/40mhz-XX禁用=无距离=室内频率=自动安装=室内模式=ap-bridge ssid=总部无线协议=802.11
/接口列表
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface无线安全配置文件
set [find default=yes] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicent -identity=M雷竞技网站ikroTik wpa-pre-shared-key=xxxxx
/ip ipsec配置文件
add dh-group=modp1024 name=ProfileBranch
/ip ipsec peer
add address=branch.dyndns.biz exchange-mode=ike2 name=BranchPeer profile=ProfileBranch .biz
/ip ipsec提议
add encs -algorithms=aes-128-cbc lifetime=1d name=BranchProposal
/ ip池
添加名称=dhcp ranges=192.168.20.10-192.168.20.254
/ ip dhcp服务器
新增address-pool=dhcp disabled=no interface=bridge name=defconf
/接口桥接端口
添加bridge=bridge comment=defconf interface=ether2
添加bridge=bridge comment=defconf interface=ether3
添加bridge=bridge comment=defconf interface=ether4
添加bridge=bridge comment=defconf interface=pwr-line1
添加bridge=bridge comment=defconf interface=wlan1
执行命令/ip neighbor discovery-settings
设置discover-interface-list =局域网
/接口列表成员
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ ip地址
添加地址=192.168.20.1/24注释=defconf接口=ether2网络=192.168.20.0
/ ip dhcp客户端
新增comment=defconf disabled=no interface=ether1
/ip dhcp-server网络
添加地址=192.168.20.0/24 comment=defconf gateway=192.168.20.1 netmask=24
/ ip dns
设置allow-remote-requests = yes
/ip DNS static
添加address=192.168.20.1 comment=defconf name=router.lan
/ip防火墙过滤器
添加动作=接受链=输入dst-port=8291协议=tcp
Add action=accept chain=input comment=“defconf: accept established,related,untracked”连接状态=established,related,untracked
Add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol= ICMP
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not from LAN" in-interface-list=!局域网
增加action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
添加action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
Add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
Add action=accept chain=forward comment="defconf: accept established,related,untracked "连接状态=established,related,untracked
Add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not stnated " connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall NAT
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ipsec identity
add peer=BranchPeer secret=BranchSecret
/ip ipsec策略
add dst-address=192.168.60.0/24 peer=BranchPeer proposal=BranchProposal sa-dst-address=192.192.192.238 sa-src-address=0.0.0.0 src-address=192.168.20.0/24 tunnel=yes
/系统时钟
设置time-zone-name =非洲/约翰内斯堡
/系统标识
集名称=总店
/工具mac服务器
设置allowed-interface-list =局域网
/tool mac-server mac-winbox
设置allowed-interface-list =局域网
路由器2配置
# jun/14/2022 17:45:04 by l雷竞技RouterOS 6.48.2
# 雷电竞app下载官方版苹果software id = N891-NKV8
#
# model = RB941-2nD
# serial number = yyyyyyy
/接口桥
add admin-mac=48:8F:5A:35:41:2F auto-mac=no comment=defconf name=bridge
/接口的无线
set [find default-name=wlan1]频带=2ghz-b/g/n信道宽度=20/40mhz-XX国家="南非"禁用=无距离=室内频率=自动安装=室内模式=ap-bridge ssid=分支站-漫游=启用无线协议=802.11
/接口列表
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface无线安全配置文件
set [find default=yes] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicent -identity=M雷竞技网站ikroTik wpa-pre-shared-key=xxxxx
/ip ipsec配置文件
add dh-group=modp1024 cn -algorithm=aes-128 name=总部
/ip ipsec peer
add address= headquarters .dyndns.biz exchange-mode=ike2 name=HeadOfficePeer profile=HeadOffice .biz
/ip ipsec提议
add enc-algorithms=aes-128-cbc lifetime=1d name=HeadOfficeProposal
/ ip池
添加名称=dhcp ranges=192.168.60.120-192.168.60.220
/ ip dhcp服务器
新增address-pool=dhcp disabled=no interface=bridge name=defconf
/用户组
设置完整策略=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/接口桥接端口
添加bridge=bridge comment=defconf interface=ether2
添加bridge=bridge comment=defconf interface=ether3
添加bridge=bridge comment=defconf interface=ether4
添加bridge=bridge comment=defconf interface=pwr-line1
添加bridge=bridge comment=defconf interface=wlan1
执行命令/ip neighbor discovery-settings
设置discover-interface-list =局域网
/接口列表成员
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ ip地址
添加地址=192.168.60.1/24注释=defconf接口=ether2网络=192.168.60.0
/ ip云
设置ddns-enabled = yes
/ ip dhcp客户端
新增comment=defconf disabled=no interface=ether1
/ip dhcp-server网络
添加地址=192.168.60.0/24 comment=defconf gateway=192.168.60.1 netmask=24
/ ip dns
设置allow-remote-requests = yes
/ip DNS static
添加address=192.168.60.1 comment=defconf name=router.lan
/ip防火墙过滤器
添加动作=接受链=输入dst-port=8291协议=tcp
Add action=accept chain=input comment=“defconf: accept established,related,untracked”连接状态=established,related,untracked
Add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol= ICMP
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not from LAN" in-interface-list=!局域网
增加action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
添加action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
Add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
Add action=accept chain=forward comment="defconf: accept established,related,untracked "连接状态=established,related,untracked
Add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not stnated " connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall NAT
添加action=dst-nat chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp to-addresses=192.168.60.250 to-ports=3389
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ipsec identity
add peer=HeadOfficePeer secret=BranchSecret
/ip ipsec策略
add dst-address=192.168.20.0/24 peer=HeadOfficePeer proposal=HeadOfficeProposal sa-dst-address=192.143.15.189 sa-src-address=192.168.8.101 src-address=192.168.60.0/24 tunnel=yes
/系统时钟
设置time-zone-name =非洲/约翰内斯堡
/系统标识
集名称=分支
/工具mac服务器
设置allowed-interface-list =局域网
/tool mac-server mac-winbox
设置allowed-interface-list =局域网
# jun/14/2022 17:44:12 by l雷竞技RouterOS 6.47.9
# 雷电竞app下载官方版苹果software id = VD2G-7XQB
#
# model = RB941-2nD
#序列号= XXXXXXX
/接口桥
add admin-mac=2C:C8:1B:78:53:8A auto-mac=no comment=defconf name=bridge
/接口的无线
set [find default-name=wlan1] band=2ghz-b/g/n信道宽度=20/40mhz-XX禁用=无距离=室内频率=自动安装=室内模式=ap-bridge ssid=总部无线协议=802.11
/接口列表
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface无线安全配置文件
set [find default=yes] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicent -identity=M雷竞技网站ikroTik wpa-pre-shared-key=xxxxx
/ip ipsec配置文件
add dh-group=modp1024 name=ProfileBranch
/ip ipsec peer
add address=branch.dyndns.biz exchange-mode=ike2 name=BranchPeer profile=ProfileBranch .biz
/ip ipsec提议
add encs -algorithms=aes-128-cbc lifetime=1d name=BranchProposal
/ ip池
添加名称=dhcp ranges=192.168.20.10-192.168.20.254
/ ip dhcp服务器
新增address-pool=dhcp disabled=no interface=bridge name=defconf
/接口桥接端口
添加bridge=bridge comment=defconf interface=ether2
添加bridge=bridge comment=defconf interface=ether3
添加bridge=bridge comment=defconf interface=ether4
添加bridge=bridge comment=defconf interface=pwr-line1
添加bridge=bridge comment=defconf interface=wlan1
执行命令/ip neighbor discovery-settings
设置discover-interface-list =局域网
/接口列表成员
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ ip地址
添加地址=192.168.20.1/24注释=defconf接口=ether2网络=192.168.20.0
/ ip dhcp客户端
新增comment=defconf disabled=no interface=ether1
/ip dhcp-server网络
添加地址=192.168.20.0/24 comment=defconf gateway=192.168.20.1 netmask=24
/ ip dns
设置allow-remote-requests = yes
/ip DNS static
添加address=192.168.20.1 comment=defconf name=router.lan
/ip防火墙过滤器
添加动作=接受链=输入dst-port=8291协议=tcp
Add action=accept chain=input comment=“defconf: accept established,related,untracked”连接状态=established,related,untracked
Add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol= ICMP
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not from LAN" in-interface-list=!局域网
增加action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
添加action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
Add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
Add action=accept chain=forward comment="defconf: accept established,related,untracked "连接状态=established,related,untracked
Add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not stnated " connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall NAT
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ipsec identity
add peer=BranchPeer secret=BranchSecret
/ip ipsec策略
add dst-address=192.168.60.0/24 peer=BranchPeer proposal=BranchProposal sa-dst-address=192.192.192.238 sa-src-address=0.0.0.0 src-address=192.168.20.0/24 tunnel=yes
/系统时钟
设置time-zone-name =非洲/约翰内斯堡
/系统标识
集名称=总店
/工具mac服务器
设置allowed-interface-list =局域网
/tool mac-server mac-winbox
设置allowed-interface-list =局域网
路由器2配置
# jun/14/2022 17:45:04 by l雷竞技RouterOS 6.48.2
# 雷电竞app下载官方版苹果software id = N891-NKV8
#
# model = RB941-2nD
# serial number = yyyyyyy
/接口桥
add admin-mac=48:8F:5A:35:41:2F auto-mac=no comment=defconf name=bridge
/接口的无线
set [find default-name=wlan1]频带=2ghz-b/g/n信道宽度=20/40mhz-XX国家="南非"禁用=无距离=室内频率=自动安装=室内模式=ap-bridge ssid=分支站-漫游=启用无线协议=802.11
/接口列表
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface无线安全配置文件
set [find default=yes] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicent -identity=M雷竞技网站ikroTik wpa-pre-shared-key=xxxxx
/ip ipsec配置文件
add dh-group=modp1024 cn -algorithm=aes-128 name=总部
/ip ipsec peer
add address= headquarters .dyndns.biz exchange-mode=ike2 name=HeadOfficePeer profile=HeadOffice .biz
/ip ipsec提议
add enc-algorithms=aes-128-cbc lifetime=1d name=HeadOfficeProposal
/ ip池
添加名称=dhcp ranges=192.168.60.120-192.168.60.220
/ ip dhcp服务器
新增address-pool=dhcp disabled=no interface=bridge name=defconf
/用户组
设置完整策略=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/接口桥接端口
添加bridge=bridge comment=defconf interface=ether2
添加bridge=bridge comment=defconf interface=ether3
添加bridge=bridge comment=defconf interface=ether4
添加bridge=bridge comment=defconf interface=pwr-line1
添加bridge=bridge comment=defconf interface=wlan1
执行命令/ip neighbor discovery-settings
设置discover-interface-list =局域网
/接口列表成员
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ ip地址
添加地址=192.168.60.1/24注释=defconf接口=ether2网络=192.168.60.0
/ ip云
设置ddns-enabled = yes
/ ip dhcp客户端
新增comment=defconf disabled=no interface=ether1
/ip dhcp-server网络
添加地址=192.168.60.0/24 comment=defconf gateway=192.168.60.1 netmask=24
/ ip dns
设置allow-remote-requests = yes
/ip DNS static
添加address=192.168.60.1 comment=defconf name=router.lan
/ip防火墙过滤器
添加动作=接受链=输入dst-port=8291协议=tcp
Add action=accept chain=input comment=“defconf: accept established,related,untracked”连接状态=established,related,untracked
Add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol= ICMP
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not from LAN" in-interface-list=!局域网
增加action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
添加action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
Add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
Add action=accept chain=forward comment="defconf: accept established,related,untracked "连接状态=established,related,untracked
Add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not stnated " connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall NAT
添加action=dst-nat chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp to-addresses=192.168.60.250 to-ports=3389
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ipsec identity
add peer=HeadOfficePeer secret=BranchSecret
/ip ipsec策略
add dst-address=192.168.20.0/24 peer=HeadOfficePeer proposal=HeadOfficeProposal sa-dst-address=192.143.15.189 sa-src-address=192.168.8.101 src-address=192.168.60.0/24 tunnel=yes
/系统时钟
设置time-zone-name =非洲/约翰内斯堡
/系统标识
集名称=分支
/工具mac服务器
设置allowed-interface-list =局域网
/tool mac-server mac-winbox
设置allowed-interface-list =局域网
Re: IPSEC IKEv2 VPN ping失败
找不到networkberg?
Re: IPSEC IKEv2 VPN ping失败
@Inamandla
你可以检查一下 文章.-------------------------------------------------------------
你可以检查一下 文章.-------------------------------------------------------------
https://www.youtube.com/c/TheNetworkBerg找不到networkberg
您没有必要的权限来查看本文附带的文件。
Re: IPSEC IKEv2 VPN ping失败
策略将LAN子网(192.168.60.0/24和192.168.20.0/24)连接在一起,但是当您从microtik本身ping时,ping的源地址不会神奇地选择为LAN地址,因此策略无法“看到”数据包。雷竞技网站我不能ping任何设备从任何microtik到另一个局域网,我得到请求雷竞技网站超时。
当路由器自己发送数据包时,它首先查找到目的地的路由,然后将数据包的源地址设置为可访问该路由的网关的出接口地址。这可以被pref-src参数,以后也可以使用src-nat或化妆舞会规则。
在您的情况下,表中唯一的路由是通过WAN通过DHCP动态添加的缺省路由。因此,您可以添加如下的src-nat规则
Chain =srcnat src-address-type=local dst-address=192.168.0.0/16 action=src-nat to-addresses=the.local.lan.ip
之前action =化妆舞会一个。或者你可以添加一条路由
dst-address = 192.168.0.0/16网关=桥-这看起来像是无稽之谈,但它确实是需要的,它使路由器使用LAN IP作为所有流量的源,流向192.168.0.0-192.168.255.255范围内的任何目的地。如果数据包通过网桥发送出去,它将无法到达任何地方这一事实并不重要,因为IPsec策略将拦截它。
Re: IPSEC IKEv2 VPN ping失败
谢谢Sindy,我添加了这些NAT和Route,很不高兴。下面是发生的事情,我不知道为什么,我试过IKE2, Aggressive和Main Peers,都有同样的问题:策略将LAN子网(192.168.60.0/24和192.168.20.0/24)连接在一起,但是当您从microtik本身ping时,ping的源地址不会神奇地选择为LAN地址,因此策略无法“看到”数据包。雷竞技网站我不能ping任何设备从任何microtik到另一个局域网,我得到请求雷竞技网站超时。
当路由器自己发送数据包时,它首先查找到目的地的路由,然后将数据包的源地址设置为可访问该路由的网关的出接口地址。这可以被pref-src参数,以后也可以使用src-nat或化妆舞会规则。
在您的情况下,表中唯一的路由是通过WAN通过DHCP动态添加的缺省路由。因此,您可以添加如下的src-nat规则
Chain =srcnat src-address-type=local dst-address=192.168.0.0/16 action=src-nat to-addresses=the.local.lan.ip
之前action =化妆舞会一个。或者你可以添加一条路由
dst-address = 192.168.0.0/16网关=桥-这看起来像是无稽之谈,但它确实是需要的,它使路由器使用LAN IP作为所有流量的源,流向192.168.0.0-192.168.255.255范围内的任何目的地。如果数据包通过网桥发送出去,它将无法到达任何地方这一事实并不重要,因为IPsec策略将拦截它。
我可以从LAN1 PC(192雷竞技网站.168.20.254) ping microtik2 IP(192.168.60.1)地址。
我可以ping通LAN2上的一些设备(例如。192.168.60.21,22=打印机)从LAN1 PC(192.168.20.254)。
我无法ping通LAN2上的一些设备(例如:192.168.60.250,15)从LAN1 PC(192.168.20.254)。
我可以ping所有设备在它自己的局域网从microtik(例如192.168.60.1)雷竞技网站在局域网(例如192.168.60.250,21,22,15)。
我不能ping任何设备从任何microtik(例如192.168.60雷竞技网站.1)到另一个LAN(例如192.168.20.x),我得到请求超时。
我的VPN设置正确,但在某个地方NAT不工作。
我已经设置了3个其他ipsec vpn,都有同样的问题。路由器设置是完全相同的。
我真的很困惑。
Re: IPSEC IKEv2 VPN ping失败
发布修改后的配置。
在屏幕允许的范围内打开命令行窗口/tool sniffer quick ip-protocol=icmp ip-address=192.168.0.0/16在其中,并尝试从一个microtik ping到另一个的局域网地雷竞技网站址。如果ping请求逃过了IPsec策略,您应该可以看到源Mikrotik上的ping请求,如果它雷竞技网站们被策略捕获,则不会被看到。在目标Mikrotik上,如果请求是通雷竞技网站过IPsec隧道来的,您应该看到请求,但是如果策略捕获了它们,则不会看到响应。
在屏幕允许的范围内打开命令行窗口/tool sniffer quick ip-protocol=icmp ip-address=192.168.0.0/16在其中,并尝试从一个microtik ping到另一个的局域网地雷竞技网站址。如果ping请求逃过了IPsec策略,您应该可以看到源Mikrotik上的ping请求,如果它雷竞技网站们被策略捕获,则不会被看到。在目标Mikrotik上,如果请求是通雷竞技网站过IPsec隧道来的,您应该看到请求,但是如果策略捕获了它们,则不会看到响应。
Re: IPSEC IKEv2 VPN ping失败
所以它似乎到达了对面的路由器,也可能到达了远端的设备,却没有得到回复。参考嗅探器回复发布修改后的配置。
在屏幕允许的范围内打开命令行窗口/tool sniffer quick ip-protocol=icmp ip-address=192.168.0.0/16在其中,并尝试从一个microtik ping到另一个的局域网地雷竞技网站址。如果ping请求逃过了IPsec策略,您应该可以看到源Mikrotik上的ping请求,如果它雷竞技网站们被策略捕获,则不会被看到。在目标Mikrotik上,如果请求是通雷竞技网站过IPsec隧道来的,您应该看到请求,但是如果策略捕获了它们,则不会看到响应。
位于(192.168.20.1)
从192.168.20.254 Ping到192.168.60.250 -错误无应答
> tool sniffer quick ip协议=icmp ip地址=192.168.0.0/16
接口时间序号dir src-mac dst-mac vlan src-address dst-address协议大小CPU fp
以太3 5.86 1 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.250 ip:icmp 74 0 no . 0
网桥5.86 2 <- BC:5F:F4:D7:6D: 252c:C8:1B:78:53:8A 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
以太3 10.374 3 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.250 ip:icmp 74 0 no . 0
网桥10.374 4 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
以太3 15.376 5 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.250 ip:icmp 74 0 no . 0
网桥15.376 6 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
以太3 20.374 7 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.250 ip:icmp 74 0 no . 0
网桥20.374 8 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
从192.168.20.254 Ping到192.168.60.21 -成功
> tool sniffer quick ip协议=icmp ip地址=192.168.0.0/16
接口时间序号dir src-mac dst-mac vlan src-address dst-address协议大小CPU fp
以太3 2.051 1 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
<- BC:5F:F4:D7:6D: 252c:C8:1B:78:53:8A 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
以太1 2.118 3 <- 88:F8:72:22:74:54 2C:C8:1B:78:53:89 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
网桥2.118 4 -> 2C:C8:1B:78:53:8A BC:5F:F4:D7:6D:25 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
以太3 3.068 5 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.21 ip:icmp 74 0 no .0
网桥3.068 6 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
以太1 3.133 7 <- 88:F8:72:22:74:54 2C:C8:1B:78:53:89 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
网桥3.133 8 -> 2C:C8:1B:78:53:8A BC:5F:F4:D7:6D:25 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
以太3 4.076 9 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.21 ip:icmp 74 0 no .0
网桥4.076 10 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
以太1 4.15 11 <- 88:F8:72:22:74:54 2C:C8:1B:78:53:89 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
网桥4.15 12 -> 2C:C8:1B:78:53:8A BC:5F:F4:D7:6D:25 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
以太3 5.082 13 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.21 ip:icmp 74 0 no .0
网桥5.082 14 <- BC:5F:F4:D7:6D:25 2C:C8:1B:78:53:8A 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
以太1 5.145 15 <- 88:F8:72:22:74:54 2C:C8:1B:78:53:89 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
bridge 5.145 16 -> 2C:C8:1B:78:53:8A BC:5F:F4:D7:6D:25 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
ROUTER2 (192.168.60.1)
从192.168.20.254 Ping到192.168.60.250 -错误无应答
> tool sniffer quick ip协议=icmp ip地址=192.168.0.0/16
接口时间序号dir src-mac dst-mac vlan src-address dst-address协议大小CPU fp
网桥2.652 1 -> 48:8F:5A: 35:41:22 f 1C:69:7A:02:33:40 192.168.8.101 192.168.60.4 ip:icmp 149 0 no
2 <- 24:31:54:16:6A:59 48:8F:5A:35:41:2E 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
网桥4.139 3 -> 48:8F:5A:35:41:2F 00:01:6C:D6:95:97 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
以太1 8.647 4 <- 24:31:54:16:6A:59 48:8F:5A:35:41:2E 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
网桥8.647 5 -> 48:8F:5A:35:41:2F 00:01:6C:D6:95:97 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
网桥12.802 6 -> 48:8F:5A:35:41:2F 1C:69:7A:02:33:40 192.168.8.101 192.168.60.4 ip:icmp 149 0 no
网桥13.262 7 -> 48:8F:5A: 35:41:22 f 1C:69:7A:02:B2:86 192.168.8.101 192.168.60.5 ip:icmp 149 0 no
以太1 13.658 8 <- 24:31:54:16:6A:59 48:8F:5A:35:41:2E 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
网桥13.658 9 -> 48:8F:5A:35:41:2F 00:01:6C:D6:95:97 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
以太1 18.656 10 <- 24:31:54:16:6A:59 48:8F:5A:35:41:2E 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
网桥18.656 11 -> 48:8F:5A:35:41:2F 00:01:6C:D6:95:97 192.168.20.254 192.168.60.250 ip:icmp 74 0 no
网桥24.172 12 -> 48:8F:5A: 35:41:22 f 1C:69:7A:02:B2:86 192.168.8.101 192.168.60.5 ip:icmp 149 0 no
从192.168.20.254 Ping到192.168.60.21 -成功
> tool sniffer quick ip协议=icmp ip地址=192.168.0.0/16
接口时间序号dir src-mac dst-mac vlan src-address dst-address协议大小CPU fp
网桥3.561 1 -> 48:8F:5A:35:41:2F 1C:69:7A:02:33:40 192.168.8.101 192.168.60.4 ip:icmp 149 0 no
<- 24:31:54:16:6A:59 48:8F:5A:35:41:2E 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
网桥3.756 3 -> 48:8F:5A:35:41:2F 50:57:9C:62:7E:B1 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
以太2 3.758 4 <- 50:57:9C:62:7E:B1 48:8F:5A:35:41:2F 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
网桥3.758 5 <- 50:57:9C:62:7E:B1 48:8F:5A:35:41:2F 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
以太1 4.787 6 <- 24:31:54:16:6A:59 48:8F:5A:35:41:2E 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
网桥4.787 7 -> 48:8F:5A:35:41:2F 50:57:9C:62:7E:B1 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
以太2 4.79 8 <- 50:57:9C:62:7E:B1 48:8F:5A:35:41:2F 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
网桥4.79 9 <- 50:57:9C:62:7E:B1 48:8F:5A:35:41:2F 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
以太1 5.793 10 <- 24:31:54:16:6A:59 48:8F:5A:35:41:2E 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
网桥5.793 11 -> 48:8F:5A:35:41:2F 50:57:9C:62:7E:B1 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
以太2 5.797 12 <- 50:57:9C:62:7E:B1 48:8F:5A:35:41:2F 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
网桥5.797 13 <- 50:57:9C:62:7E:B1 48:8F:5A:35:41:2F 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
<- 24:31:54:16:6A:59 48:8F:5A:35:41:2E 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
网桥6.793 15 -> 48:8F:5A:35:41:2F 50:57:9C:62:7E:B1 192.168.20.254 192.168.60.21 ip:icmp 74 0 no
以太2 6.796 16 <- 50:57:9C:62:7E:B1 48:8F:5A:35:41:2F 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
网桥6.796 17 <- 50:57:9C:62:7E:B1 48:8F:5A:35:41:2F 192.168.60.21 192.168.20.254 ip:icmp 74 0 no
网桥13.811 18 -> 48:8F:5A:35:41:2F 1C:69:7A:02:33:40 192.168.8.101 192.168.60.4 ip:icmp 149 0 no
从192.168.60.1 Ping到192.168.60.250 -成功
> tool sniffer quick ip协议=icmp ip地址=192.168.0.0/16
接口时间序号dir src-mac dst-mac vlan src-address dst-address协议大小CPU fp
网桥2.851 3 <- 00:01:6C:D6:95:97 48:8F:5A:35:41:2F 192.168.60.250 192.168.60.1 ip:icmp 70 0 no
网桥3.855 4 -> 48:8F:5A:35:41:2F 00:01:6C:D6:95:97 192.168.60.1 192.168.60.250 ip:icmp 70 0 no
以太2 3.856 5 <- 00:01:6C:D6:95:97 48:8F:5A:35:41:2F 192.168.60.250 192.168.60.1 ip:icmp 70 0 no
网桥3.856 6 <- 00:01:6C:D6:95:97 48:8F:5A:35:41:2F 192.168.60.250 192.168.60.1 ip:icmp 70 0 no
网桥4.861 7 -> 48:8F:5A: 35:41:20 f 00:01:6C:D6:95:97 192.168.60.1 192.168.60.250 ip:icmp 70 0 no
以太2 4.861 8 <- 00:01:6C:D6:95:97 48:8F:5A:35:41:2F 192.168.60.250 192.168.60.1 ip:icmp 70 0 no
网桥4.861 9 <- 00:01:6C:D6:95:97 48:8F:5A:35:41:2F 192.168.60.250 192.168.60.1 ip:icmp 70 0 no
网桥5.864 10 -> 48:8F:5A: 35:41:20 f 00:01:6C:D6:95:97 192.168.60.1 192.168.60.250 ip:icmp 70 0 no
ether2 5.864 11 <- 00:01:6C:D6:95:97 48:8F:5A:35:41:2F 192.168.60.250 192.168.60.1 ip:icmp 70 0 no
网桥5.864 12 <- 00:01:6C:D6:95:97 48:8F:5A:35:41:2F 192.168.60.250 192.168.60.1 ip:icmp 70 0 no
网桥6.868 13 -> 48:8F:5A: 35:41:20 f 00:01:6C:D6:95:97 192.168.60.1 192.168.60.250 ip:icmp 70 0 no
以太2 6.868 14 <- 00:01:6C:D6:95:97 48:8F:5A:35:41:2F 192.168.60.250 192.168.60.1 ip:icmp 70 0 no
谢谢你的帮助。
Re: IPSEC IKEv2 VPN ping失败
Windows防火墙在默认情况下会丢弃来自接口所属子网外的ping请求,即与IPsec隧道无关。也许这解释了为什么有些设备响应ping而192.168.60.250没有。其他一些设备可能也有相同的行为。我无法ping通LAN2上的一些设备(例如:192.168.60.250,15)从LAN1 PC(192.168.20.254)。
或者在这些设备上可能有一个更复杂的路由表,192.168.20.0/24可能通过其他网关而不是192.168.60.1进行路由。
你没有提供更新的配置,所以我不能说你是否已经正确地添加了srcnat规则和/或路由。我不能ping任何设备从任何microtik(例如192.168.60雷竞技网站.1)到另一个LAN(例如192.168.20.x),我得到请求超时。
的输出/工具嗅探器当从microtik发出ping信号时,所以雷竞技网站我不能说这些ping信号发生了什么。
Re: IPSEC IKEv2 VPN ping失败
我也有同样的问题。当我通过IPSEC IKEv2连接到总部后,可以ping通总部子网内的部分设备,也可以ping不通。可以访问Windows设备,但无法访问IP电话或打印机。
无论是客户端还是站点到站点。
无论是客户端还是站点到站点。
Re: IPSEC IKEv2 VPN ping失败
我又试了一次,
你好,
我有2个网络,每个网络都有RB3011和两个网络之间的站点到站点连接LAN1 192.168.99.0/24 LAN2 192.168.100.0/24。IKEv2隧道是成功的,不幸的是我不能ping不同的设备从LAN1从LAN2。从RB3011从LAN1(192.168.99.220),我可以ping网络192.168.100.0/24中的所有设备。我不能从LAN1上的设备ping不同的设备,见截图,这应该解释了一切。
我已经尝试过从IKEv2切换到Wireguard,同样的问题。
请原谅我的英语不好。
你好,
我有2个网络,每个网络都有RB3011和两个网络之间的站点到站点连接LAN1 192.168.99.0/24 LAN2 192.168.100.0/24。IKEv2隧道是成功的,不幸的是我不能ping不同的设备从LAN1从LAN2。从RB3011从LAN1(192.168.99.220),我可以ping网络192.168.100.0/24中的所有设备。我不能从LAN1上的设备ping不同的设备,见截图,这应该解释了一切。
我已经尝试过从IKEv2切换到Wireguard,同样的问题。
请原谅我的英语不好。
您没有必要的权限来查看本文附带的文件。
Re: IPSEC IKEv2 VPN ping失败
它不能解释一切,它只是给出一些提示。看截图,这应该解释了一切。
我可以看到你可以从PC和3011 ping 192.168.100.1,但是你只能从3011 ping 192.168.100.90,而不能从PC ping。到目前为止一切顺利。但是,您没有指定192.168.100.1和192.168.100.90是什么,那么。100.1是另一个3011的地址吗?
您的问题可能是microtiks本身的防火墙规则(链之间存在差异)雷竞技网站输入和向前),或者某些设备上的防火墙。
如果你想要一个更有用的建议,提供一个更有用的输入-看看下面我的自动签名。