IKEv2 IPSec между сетями. Как настроить грамотно?

Обсуждение ПО и его настройки
Ответить
Harlan
Сообщения: 4
Зарегистрирован: 02 фев 2020, 11:47

Есть две сети.
Сеть №1 (Предприятие)
Адреса: 172.25.0.0/16
Gateway: 172.25.0.1
DNS: 172.25.0.11
Search domain: work.domain
External IP: XXX.XXX.XXX.XXX
PfSense, на котором поднят IPSec для доступа к внутренним ресурсам из-вне.

Сеть №2 (Дом)
Адреса: 192.168.88.0/24
GateWay: 192.168.88.1
DNS: от провайдера, при подключении к сети №1 подменяется на 172.25.0.11
External IP: YYY.YYY.YYY.YYY (static)
Mikrotik

Нужно добиться следующего, чтобы Mikrotik при включении устанавливал связь с офисной сетью (компьютеры из сети №2 могли доступаться к ресурсам из сети №1, но не наоборот)
Сейчас на микротике работает следующая конфигурация:

Код: Выделить всё

/ip ipsec peer
add address=XXX.XXX.XXX.XXX/32 exchange-mode=ike2 local-address=YYY.YYY.YYY.YYY \
    name=WK_Peer
/ip ipsec policy group
add name=WK
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128,3des,des \
    hash-algorithm=sha512
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha1 pfs-group=none
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
/ip firewall filter
...
add action=accept chain=forward ipsec-policy=in,ipsec
/ip firewall nat
add action=src-nat chain=srcnat dst-address=172.25.0.0/16 src-address=\
    192.168.88.0/24 to-addresses=10.11.0.2
add action=src-nat chain=srcnat dst-address=!172.25.0.0/16 src-address=\
    192.168.88.0/24 to-addresses=YYY.YYY.YYY.YYY
/ip ipsec identity
add auth-method=eap certificate=ca.crt_0 eap-methods=eap-mschapv2 \
    generate-policy=port-strict mode-config=request-only password=xxxxxxxxxxxx \
    peer=WK_Peer policy-template-group=WK username=user@work.mail
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 group=WK src-address=0.0.0.0/0
add dst-address=XXX.XXX.XXX.XXX/32 group=WK src-address=YYY.YYY.YYY.YYY/32 \
    template=yes
/ip ipsec settings
set accounting=no
/ip route
add distance=1 dst-address=172.25.0.0/16 gateway=ether1 pref-src=10.11.0.2
Проблема в следующем:
После поднятия IPSec, нужно добавить маршрут add distance=1 dst-address=172.25.0.0/16 gateway=ether1 pref-src=10.11.0.2, где pref-src указать тот IP, который получен от PfSense, а так же одно правило NAT с тем же самым IP. Однако, заранее неизвестно, какой IP выделит PfSense, а выделить статический адрес невозможно (либо, я просто не знаю как).
В общем, прошу помощи в решении вопроса, как сделать так, чтобы всё работало без ручных корректировок правил NAT и маршрутов после поднятия IPSec?


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»