Как сделать интерфейс для IKEv2 (для маршрутизации)?

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
dave42
Сообщения: 2
Зарегистрирован: 03 дек 2019, 00:29

Коллеги, наверное вопрос будет совсем чайниковский, и возможно, на форуме (или даже в доках!) уже было готовое решение, но я где-то что-то важное определенно пропускаю. Роюсь уже с месяц наверное, и как-то по кругу.

У меня есть: Конфигурация самая стандартная -- WAN на ether1 и остальные порты в локалке, все работает. Есть IKEv2 соединение наружу (Микротик -- клиент). Пусть это будет NordVPN раз он есть в официальном вики, замечательно описан и работает: https://support.nordvpn.com/Connectivit ... ordVPN.htm
(если нужно свой конфиг скину но тут вроде все есть, чтобы понять что создается).

Итак, Ipsec IKEv2 поднимается, возникает Active Peer, но, как зарулить в него выборочный трафик? Допустим, у меня есть BGP-анонс, или руками я хочу сделать таблицу и маскарадить. Вроде, пока понятно, как. Допустим, маскарад. Тогда надо сказать что-то типа:

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat dst-address-list=my-list out-interface=VPN??? src-address-list=192.168.88.1/24


Все бы ок, в теории, но out-interface нужен! (вот то место, где я написал "VPN???"). А никакой интерфейс не создается после подключения! Где-то надо создать туннель или что-то типа того? Вот тут я и застрял, не понимая, куда вообще рыть.

Нужно ли "создавать" интерфейс для готового IKEv2 и вообще это возможно ли это? Или надо конфигурировать как-то еще? Или надо обязательно подконфиживать еще и сервер?

Простите, если слишком сумбурно, готов детальнее описать детали, если их не хватает. Но думаю, что не хватает какой-то базовой штуки у меня в понимании, надеюсь на вашу помощь!


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если у вас просто ipsec между двумя адресами, без использования тоннелей, то и интерфейс у вас есть только один - ваш ван порт, т.е. ether1, т.е. по сути все и так маскарадится выходя из него. Если вам так не удобно, то поднимите хоть какой-то тоннель между этими железками и оперируйте уже интерфейсами тоннеля и тоннельными адресами, но это даст доп. нагрузку на железки.


Аватара пользователя
dave42
Сообщения: 2
Зарегистрирован: 03 дек 2019, 00:29

KARaS'b писал(а): 04 дек 2019, 00:54 Если у вас просто ipsec между двумя адресами, без использования тоннелей, то и интерфейс у вас есть только один - ваш ван порт, т.е. ether1, т.е. по сути все и так маскарадится выходя из него. Если вам так не удобно, то поднимите хоть какой-то тоннель между этими железками и оперируйте уже интерфейсами тоннеля и тоннельными адресами, но это даст доп. нагрузку на железки.
Спасибо! Нагрузка-то ерунда. Но я правильно понимаю, что в случае со сторонним VPN-сервисом (когда туннель там той стороне не настроить), никак такой интерфейс не поднять?

Может есть еще варианты, сделать "что-нибудь виртуальное" на микротике, или привязяться к IP той стороны хотя бы? Конечная -- использовать BGP анонсы, отправляющие часть трафика в VPN.


Ответить