Пункт Priority в IPsec Policy
-
zilaev
- Сообщения: 32
- Зарегистрирован: 07 мар 2013, 17:55
- Контактная информация:
объясните пожалуйста что это и как использовать можно
-
Kola
- Сообщения: 49
- Зарегистрирован: 02 сен 2013, 13:48
Видимо (точнее, возможно) определяет приоритет применения политик шифрования, если входящим пакетам соответствует более одной политики. 
-
zilaev
- Сообщения: 32
- Зарегистрирован: 07 мар 2013, 17:55
- Контактная информация:
да вот тоже предположение такое. но хотелось бы подробнее с примерами....
пробовал делать резервирование ipsec. т.е. сеть назначения одна (dst.Address) в 2х политиках. а SA DST.Address разный, плюс менял Priority. одна из политики подсвечивается красным и не работает вообще пока не отключишь ту которая переминалась, и выключишь и включишь ту которую нужно
пробовал делать резервирование ipsec. т.е. сеть назначения одна (dst.Address) в 2х политиках. а SA DST.Address разный, плюс менял Priority. одна из политики подсвечивается красным и не работает вообще пока не отключишь ту которая переминалась, и выключишь и включишь ту которую нужно
-
nikitoseg
- Сообщения: 1
- Зарегистрирован: 11 сен 2013, 10:09
Плюс один. Стоит задача организовать резервирование VPN.
У меня на дальнем конце VPN Cisco с двумя каналами интернет и с двумя IP-адресами. Хотелось бы настроить Микротик, чтобы при недоступности основного канала, он подцеплялся бы к резервному.
Создал на микротике 2 одинаковых политики IPSec с разными SA Destination Address и priority - не работает.
/ip ipsec peer
add address=1.1.1.1/32 comment=primary dh-group=modp768 dpd-interval=\
disable-dpd enc-algorithm=des hash-algorithm=sha1 secret=*****
add address=2.2.2.2/32 comment=backup dh-group=modp768 dpd-interval=\
disable-dpd enc-algorithm=des hash-algorithm=sha1 secret=*****
/ip ipsec policy
add dst-address=192.168.20.0/24 level=unique proposal=oldset \
sa-dst-address=2.2.2.2 sa-src-address=0.0.0.0 src-address=\
192.168.19.128/28 tunnel=yes
add dst-address=192.168.20.0/24 level=unique priority=1 proposal=oldset \
sa-dst-address=1.1.1.1 sa-src-address=0.0.0.0 src-address=\
192.168.19.128/28 tunnel=yes
Помогите, пожалуйста, разобраться - можно ли так сделать? Зачем нужно priority и как его использовать?
У меня на дальнем конце VPN Cisco с двумя каналами интернет и с двумя IP-адресами. Хотелось бы настроить Микротик, чтобы при недоступности основного канала, он подцеплялся бы к резервному.
Создал на микротике 2 одинаковых политики IPSec с разными SA Destination Address и priority - не работает.
/ip ipsec peer
add address=1.1.1.1/32 comment=primary dh-group=modp768 dpd-interval=\
disable-dpd enc-algorithm=des hash-algorithm=sha1 secret=*****
add address=2.2.2.2/32 comment=backup dh-group=modp768 dpd-interval=\
disable-dpd enc-algorithm=des hash-algorithm=sha1 secret=*****
/ip ipsec policy
add dst-address=192.168.20.0/24 level=unique proposal=oldset \
sa-dst-address=2.2.2.2 sa-src-address=0.0.0.0 src-address=\
192.168.19.128/28 tunnel=yes
add dst-address=192.168.20.0/24 level=unique priority=1 proposal=oldset \
sa-dst-address=1.1.1.1 sa-src-address=0.0.0.0 src-address=\
192.168.19.128/28 tunnel=yes
Помогите, пожалуйста, разобраться - можно ли так сделать? Зачем нужно priority и как его использовать?
-
Corvus
- Сообщения: 33
- Зарегистрирован: 25 апр 2013, 05:39
А не проще ли pptp туннелем?
-
zilaev
- Сообщения: 32
- Зарегистрирован: 07 мар 2013, 17:55
- Контактная информация:
нет. нужно шифрование трафика.
-
Corvus
- Сообщения: 33
- Зарегистрирован: 25 апр 2013, 05:39
хмм а разве pptp не шифрует канал?
-
zilaev
- Сообщения: 32
- Зарегистрирован: 07 мар 2013, 17:55
- Контактная информация:
шифрует, но шифрование не стойкое шифрование. вот l2tp+ipsec - стойко.....но вопрос остается открытым....