[ bvladan @ 28.08.2010. 12:24 ] @
Imam Mikrotik 3.22. VPN IPSEC između dva mirkotika mi radi dokle se ne promjeni adresa od provajdera. Imam skriptu koja bi trebala riješiti ovaj problem ali sledeći red komande mi ne radi. Sve moguće varijante sam probao:

/ip ipsec policy set 0 sa-src-address=$LocalSite sa-dst-address=$RemoteSite

Meni ovo djeluje kao potpuno ispravna komanda, koja inače radi kad je koristim u Command Line, ali u skripti neće. Zna li neko u čemu bi ovdje bio problem?

[ bvladan @ 30.08.2010. 13:39 ] @
sa-src-addres i sa-dst-address sadrže podatke o javnim IP adresama, da bi
razmijenili informacije o VPN-u, dok promjenljive src-address i dst-address
sadrže IP addrese iz privatne mreže. Meni baš treba promjena javnih IP
adresa :)
[ bvladan @ 30.08.2010. 13:43 ] @
Niko nema neku ideju?

Pretražio sam i dokumentaciju i razne forume, ali svuda piše da je ova komanda ispravna, ali meni ne radi.
[ zivanicd @ 30.08.2010. 14:13 ] @
Jedino sto mi pada na pamet je da si mozda dobio komandu ili script za drugu verziju mt-a.
Kako su se menjale verzije MT-a tako je dolazilo i do promene skript sintaksi.

Meni se cak desavalo da u komandnoj liniji neka komanda ili skripta radi, a da kada je ubacim u script da se sama izvrsava ne radi...
Pogotovu na verzijama 3.xx

poz
[ markoradulovic87 @ 30.09.2010. 12:51 ] @
jesi li resio problem?
[ bvladan @ 04.10.2010. 08:30 ] @
Nisam
[ nemesis @ 04.10.2010. 09:12 ] @
ovaj... a da li si razmishljao da koristish nesto tipa dynamicDNS (koristi google) pa jednostavnom skriptom
da na svakih 5min ili 30 sec ili koliko hocesh proveravash koja ti je IP, i ako ima promene radish promenu
u svom rekordu tamo ...
a kad pravish VPN koristi hostname a ne ip ... a hostname nek ti bude dinamichka oznaka ...
[ markoradulovic87 @ 13.10.2010. 20:43 ] @
-uz pomoc scripte napravi se dyndns na mikrotik ruteru i onda se pristupa njemu preko dyndns, lakse je nego uz pomoc javne adrese koja nije staticka.
-vpn sa ipsec se podigne na par lokacija i medjusobno se spoje, izrutira se to lijepo i radi prelijepo ako vpn koriste 10-15 naloga. ako koriste vise njih.. mislim da treba mnogo JACI ruter od mikrotika..
[ bvladan @ 06.12.2010. 15:45 ] @
Problem sa ovom skriptom sa riješio. Cilj mi je bio da se skripta pokreće svakih nekoliko minuta i update-uje podešavanja za IPSEC POLICY i IPSEC PEER. Znači uzme trenutne adrese LocalSite-a i RemoteSit-a i upiše ih u podešavanja na LocalSite-u. Oba Mikrotika primaju adrese DHCP-om od provajdera, pa sam na RemoteSite-u stavio IPSEC PEER da bude 0.0.0.0/0 a na LocalSite, za update-ovanje IPSEC POLICY definisao novi proposal sa imenom kojim ću prepoznati prema kome je upućen VPN. Za Update-ovanje IPSEC PEERA sam iskoristio sifru, koja mora biti ista za obadvije strane. Podešavanja za novi proposal su defaultna.
Skripta izgleda ovako:

:global LocalSite [/ip address get [find interface=ime_interface-a] address ]
:global RemoteSite [:resolve RemoteSite.dyndns.org]
:for i from=( [:len $LocalSite] - 1) to=0 do={
:if ( [:pick $LocalSite $i] = "/") do={
:set LocalSite [:pick $LocalSite 0 $i];
}
}
/ip ipsec policy set [/ip ipsec policy find proposal=ime_novog_proposala] sa-src-address=$LocalSite sa-dst-address=$RemoteSite protocol=all
/ip ipsec peer set [/ip ipsec peer find secret="??????"] address="$RemoteSite/32:500"

Nadam se da cu nekom pomoci, jer sam ovu skriptu iskombinovao od vise skripti sa interneta i sklopio je onako kako meni odgovara. Za korisnike sa statičkom javnom adresom na jednoj i DHCP adresom provajdera na drugoj strani VPN_a posao je lakši. Onda bi pretraga u skripti mogla da ide po remote adresi koja je fiksna, a ne po imenu proposala kao što sam stavio kod sebe. Mada se i drugi parametri mogu kombinovati i koristiti u pretrazi.