Добрый день.
Имеем два микротика.
1 с белым адресом.
2 с серым за nat провайдера
Можно ли создать между ними чистый ipsec, используя NAT-Traversal.
Если можно, то какие будут ограничения?
Туннели ppp и белый адрес просьба не рассматривать
IPSEC в чистом виде между двумя mikrotik hex
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Можно.
Да вроде никаких особенных ограничений.
Да вроде никаких особенных ограничений.
Telegram: @thexvo
-
- Сообщения: 29
- Зарегистрирован: 23 окт 2018, 16:33
Так нужен же проброс порта за nat провайдера?
Что указывать в качестве пира на микротике с белым адресом?
Белый адрес провайдера по логике.
Но не понятно как без проброса установится соединение с микротиком, у которого серый адрес, по 500 порту
Что указывать в качестве пира на микротике с белым адресом?
Белый адрес провайдера по логике.
Но не понятно как без проброса установится соединение с микротиком, у которого серый адрес, по 500 порту
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Нет, тот, который с белым адресом настраивается как responder.
Пример на офф стайте есть:
https://wiki.mikrotik.com/wiki/Manual:I ... _using_DNS
Пример на офф стайте есть:
https://wiki.mikrotik.com/wiki/Manual:I ... _using_DNS
Telegram: @thexvo
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Да не за что :)
Напишите потом, получилось или нет.
Напишите потом, получилось или нет.
Telegram: @thexvo
-
- Сообщения: 29
- Зарегистрирован: 23 окт 2018, 16:33
Я не хочу раздавать адреса через mode config ike v2
Вобщем, пока думаю в настройках пира микротика с белым адресом выставить
Send -initial-contact=no и passive=yes
generate-policy=port-strict
Использовать туннельный режим и Policy-template-group
Вобщем, пока думаю в настройках пира микротика с белым адресом выставить
Send -initial-contact=no и passive=yes
generate-policy=port-strict
Использовать туннельный режим и Policy-template-group
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 29
- Зарегистрирован: 23 окт 2018, 16:33
В том-то и дело. Я вообще не хочу GRE использовать.
Просто ipsec в чистом виде в tunnel mode, с той лишь разницей, что с одной стороны будет серый ip.
Просто ipsec в чистом виде в tunnel mode, с той лишь разницей, что с одной стороны будет серый ip.
-
- Сообщения: 29
- Зарегистрирован: 23 окт 2018, 16:33
Для gre over transport ipsec будут нужны оба белых ip. GRE иначе не заработает