IPSec между Mikrotik и Cisco ASA

Обсуждение ПО и его настройки
Ответить
Dmitrij
Сообщения: 1
Зарегистрирован: 10 ноя 2020, 15:06

Добрый день!


В офисе есть модем с белым IP 86.57.X.X, за ним сеть 192.168.1.0/24 и в этой сети микротик с адресом 192.168.1.47. Для одного софта появилась необходимость поднять IPSec тоннель, на серваке делать не дали, поэтому решили на микротике.
У циски тоже белый адрес 81.30.Y.Y и за ней в сети есть нужный нам ПК с адресом 81.30.Y.Z.
Все данные были получены и поднять тоннель я смог только после следующих настроек:

/ip ipsec profile
add dh-group=modp1536 enc-algorithm=aes-256 name=LifeProfile
/ip ipsec peer
add address=81.30.Y.Y/32 local-address=192.168.1.47 name=LifePeer profile=LifeProfile
/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=Lifeproposal pfs-group=modp1536
/ip ipsec identity
add peer=LifePeer secret=secret
/ip ipsec policy
add dst-address=81.30.Y.Z/32 dst-port=6200 peer=LifePeer proposal=Lifeproposal sa-dst-address=81.30.Y.Y
sa-src-address=192.168.1.47 src-address=86.57.X.X/32 tunnel=yes

Как-то, после прочтения мануалов и форумов, мне кажется, что это не совсем правильные настройки, плюс нужного мне компа 81.30.Y.Z я не вижу ни на микротике, ни в сети 192.168.1.0/24. Как мне до него достучаться?


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Dmitrij писал(а): 21 янв 2021, 10:47 Добрый день!


В офисе есть модем с белым IP 86.57.X.X, за ним сеть 192.168.1.0/24 и в этой сети микротик с адресом 192.168.1.47. Для одного софта появилась необходимость поднять IPSec тоннель, на серваке делать не дали, поэтому решили на микротике.
У циски тоже белый адрес 81.30.Y.Y и за ней в сети есть нужный нам ПК с адресом 81.30.Y.Z.
Все данные были получены и поднять тоннель я смог только после следующих настроек:

/ip ipsec profile
add dh-group=modp1536 enc-algorithm=aes-256 name=LifeProfile
/ip ipsec peer
add address=81.30.Y.Y/32 local-address=192.168.1.47 name=LifePeer profile=LifeProfile
/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=Lifeproposal pfs-group=modp1536
/ip ipsec identity
add peer=LifePeer secret=secret
/ip ipsec policy
add dst-address=81.30.Y.Z/32 dst-port=6200 peer=LifePeer proposal=Lifeproposal sa-dst-address=81.30.Y.Y
sa-src-address=192.168.1.47 src-address=86.57.X.X/32 tunnel=yes

Как-то, после прочтения мануалов и форумов, мне кажется, что это не совсем правильные настройки, плюс нужного мне компа 81.30.Y.Z я не вижу ни на микротике, ни в сети 192.168.1.0/24. Как мне до него достучаться?
Туннель поднялся это уже неплохо.
А что насчёт Nat?? Натить этот трафик Вам не нужно


Ответить