Страница 1 из 1

EoIP + IPSec

Добавлено: 12 янв 2017, 12:49
cooper_zlat
Подскажите начинающему. Есть работающий EoIP туннель. Как сделать на нем IPSec шифрование?

Re: EoIP + IPSec

Добавлено: 12 янв 2017, 13:08
DmNuts
cooper_zlat писал(а):Подскажите начинающему. Есть работающий EoIP туннель. Как сделать на нем IPSec шифрование?

Если версия RouterOS не сильно старая (посмотрел сейчас, в 6.33 уже есть), достаточно в свойствах EoIP туннеля указать параметр ipsec-secret.
При необходимости настроить IPSec Proposals.

Re: EoIP + IPSec

Добавлено: 12 янв 2017, 13:19
cooper_zlat
а можете в двух словах объяснить про IPSec Proposals.

Re: EoIP + IPSec

Добавлено: 12 янв 2017, 13:35
DmNuts
В двух словах - там создаются профили, регулирующие использование алгоритмов шифрования.
Подробнее в вики на русском.

Re: EoIP + IPSec

Добавлено: 12 янв 2017, 13:37
cooper_zlat
спасибо!!!!! буду пробовать. уже обновляю прошивку )

Re: EoIP + IPSec

Добавлено: 13 янв 2017, 08:18
cooper_zlat
возник вопрос. при заполнении поля IP Sec secret в тоннеле требуется ввести local address. что тут вводить в случае если у микротика нет как такового адреса? или нужно присвоить адрес? любой адрес из адресного пространства имеющейся сети ввожу - компы не пингуются. только убираю секрет и local address - все пингуется.

Re: EoIP + IPSec

Добавлено: 13 янв 2017, 17:23
Vlad-2
cooper_zlat писал(а):возник вопрос. при заполнении поля IP Sec secret в тоннеле требуется ввести local address. что тут вводить в случае если у микротика нет как такового адреса? или нужно присвоить адрес? любой адрес из адресного пространства имеющейся сети ввожу - компы не пингуются. только убираю секрет и local address - все пингуется.

1) На сколько я знаю, и Вы должны знать - что при использовании шифрованного канала, между сторонами должно
произойти handshake (дружеское рукопожатие), а как поздороваться если не знать с кем? :-)
Поэтому при создании туннелей, с IP-secret'ом - надо заполнять оба поля (и локал адрес в том числе)
2) Снять(отключить) галочку Allow Fast Path (на GRE требуется точно).
3) Ну и это банально, но повторюсь - и конечно, установить пароль одинаковый с обеих сторон.

На счёт адреса - если его нет, (хотя как у роутера нет адреса?), создайте/дайте ему адрес какой то или сделайте бутерброд - создайте обычный туннель и уже в нём можно запустить уже шифрованный.
Сразу говорю - совет дал и в рамках как я понял, и как пошла мысля.
Микротик это Лего-конструктор, извращаться можно как угодно...

P.S.
(и зачем всем понадобилось резко шифрования)