Mikrotik и IPSEC Freebsd

Обсуждение ПО и его настройки
Ответить
kharkov_max
Сообщения: 104
Зарегистрирован: 04 окт 2015, 21:38

День добрый.

Понадобилось настроить ipsec с freebsd.
Собственно есть опыт настройки freebsd-freebsd.
Сделал по аналогии без особого чтения манов по mikrotik - все заработало
Итого связка сетей к примеру 192.168.0.0/24 - 192.168.5.0/24 - работает.

Пошел далее, в соединенных сетях необходимо настроить OSPF.
Для этого в freebsd поднял GIF интерфейс, а на mikrotik ip-ip тунель и с горечью обнаружил что не работает ...

С freebsd уходят шифрованые пакеты на mikrotik, mikrotik их расшифровывает и ответ кидает у же в открытом виде через ip-ip тунель.
Начал читать маны и дошел до того что ip-ip тунель и IPSEC тунель это разные и не пересекающиеся вещи.
По логике работы Freebsd мы соединяем 2 локальных сети, а потом шифруем их IPSEC, т.е. демон понимает куда идет пакет и принудительно его шифрует если в IPSEC есть нужная политика.
У микротика видимо своя логика и ему плевать на настроенный IPSEC и что пакеты нужно шифровать, он шурует их в открытом виде в открытый тунель IPIP, если есть такой настроенный.

Как я понял что для использования OSPF мне необходимо поднимать L2TP тунель (т.е. VPN ) шифровать его и уже в нем для OSPF делать смежные IP типа 192.168.200.1, 192.168.200.2

Пробовал в IPIP тунеле включать IPSEC по парольной фразе, но ни как не смог подобрать настройки для FREEBSD, пришел к выводу что этот режим только для связки mikrotik - mikrotik.

Народ наведите на верную мысль, как делать правильно ?
Уж очень мне не хочется поднимать VPN сервер L2TP ....


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

так вы поднимите какойнить EoIp

Ипсек иму же по идее пофиг чего шифровать. А на базе EoIp поднимите нормальную транспортную сеть, туда положите OSPF а трафик уже между сетями шифруйте с помощью IpSec


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Хотя мне кажется что OSPF и на GRE нормально заведется


Есть интересная задача и бюджет? http://mikrotik.site
kharkov_max
Сообщения: 104
Зарегистрирован: 04 окт 2015, 21:38

vqd писал(а):так вы поднимите какойнить EoIp

Ипсек иму же по идее пофиг чего шифровать. А на базе EoIp поднимите нормальную транспортную сеть, туда положите OSPF а трафик уже между сетями шифруйте с помощью IpSec


Т.е. вы считаете что смена тунеля на EoIP заставит IPSEC Mikrotik шифровать трафик?
Как по мне так смена типа тунеля ни чего не решит ....

Я вот тут подумал, может как то нужно метить трафик и принудительно засовывать его в IPSEC ?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

конечно не решит. Это же очевидно


Есть интересная задача и бюджет? http://mikrotik.site
Ответить