IPSec между Mikrotik и Cisco VTI

Обсуждение ПО и его настройки
Ответить
brnfkr
Сообщения: 11
Зарегистрирован: 01 мар 2019, 15:42

Всем, привет!
Купили на тест в контору несколько HEXs.
Упражняюсь в настройке IPSec между Mikrotik и Cisco.
Циска стоит в центре, с удалённых позиций через инет на неё сходятся IPSec-туннели с других маршрутизаторов за которыми есть некоторое количество хостов.
На циске используются VTI для возможности организации динамической маршрутизации(OSPF), да и гораздо удобнее так, не нужно выделять интересный трафик, создавать криптомапы и т.п.
проблема заключается в следующем: IPsec между указанными железками не работает в ТУННЕЛЬНОМ режиме.
В транспортном всё ок, поднимается тут же, с различными настройками шифрования, хэшами и т.п.
Пробовал различные типы туннелей: GRE и IPIP, на микроте пробовал и дефолтные profile, prospal, policy, создаваемые автоматически, пробовал создавать их руками, итог один: работает только в транспортном режиме.

Кто-нибудь сталкивался с подобными проблемами?

Ну и вдогонку вопросик: разница между туннельным и транспортными режимом?
Прошу в гугл не отправлять, понятно, что в первом случае к оригинальному пакету добавляется ещё один IP-заголовок, а во втором используется оригинальный, но тут у меня и возникла проблема в понимании этого.
Допустим, есть два маршрутизатора Р1 и Р2 с интерфейсами с белыми адресами ИПб1 и ИПб2. Между маршрутизаторами построен туннель с концами на этих белых ИП.
На туннельных интерфейсах с каждой стороны назначены серые адреса ИПс1 и ИПс2 соответственно. Маршрутизация между хостами за маршрутизаторами направлена в туннель.
Скажем, за маршрутизатором Р2 есть хост с адресом ИПс222, за Р1 - ИПс111. допустим хост ИПс222 захотел отправить пакет на адрес ИПс111.
в оригинальном заголовке этого пакета будет источник ИПс222, назначение - ИПс111.
Прилетел этот пакет на роутер, он знает, что до хоста назначения можно добраться через туннель. что происходит дальше?
если говорить о транспортном режиме, то должна зашифроваться только полезная нагрузка, заголовок остаётся исходным, но ведь исходные серые адреса не пролезут через инет.
Или транспортный режим вообще не подразумевает маршрутизации через туннель? то есть если бы маршрут до хоста ИПс111 я бы отправил не на ИПс1, а на ИПб1, полезная нагрузка бы зашифровалась, а заголовок остался бы с серыми адресами и пакет бы помер на шлюзе у провайдера?
Выходит, если у меня весь серый трафик отправлен в туннель, то всё равно оригинальный заголовок помещается под новый заголовок с белыми адресами концов туннеля? ну и в чём тогда разница туннельного режима и транспортного?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

IPSEC в туннельном режиме работает когда он сам себе туннель. Без GRE и IPIP.
Если он работает с GRE, то туннель делает GRE, а IPCEC внутри туннеля в транспортном режиме.


brnfkr
Сообщения: 11
Зарегистрирован: 01 мар 2019, 15:42

правильно ли я понял, если я использую тип туннеля IPIP или GRE и защищаю его с помощью IPSec profile, то у IPSec режим транспортный в любом случае.
А туннельный будет лишь в случае, когда тип туннеля установлен IPSec?

Мне кажется, это не совсем логично, в этом случае под заголовком IP GRE пакета будет незашифрованный IP заголовок оригинального пакета, иными словами, это IPsec over GRE(IPIP), это неправильно, должно быть наоборот.
Последний раз редактировалось brnfkr 10 апр 2019, 15:26, всего редактировалось 1 раз.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

да


Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

"Мне кажется, это не совсем логично, в этом случае под заголовком IP GRE пакета будет незашифрованный IP заголовок оригинального пакета, иными словами, это IPsec over GRE(IPIP), это неправильно, должно быть наоборот."
Некропост, но я отвечу т.к. я понимаю совсем не так. Поправьте меня если я ошибаюсь.
Не зашифрован будет только заголовок IP пакета (в данном случае GRE(IPIP не знаю, но наверно и с ним так-же)) Все остальные IP заголовки с точки зрения IPsec будут не заголовками, а содержимым пакета и будут шифроваться.


Ответить