Микротик интернет через IPsec

Обсуждение ПО и его настройки
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Здравствуйте !

схема банальна
Изображение

каким образом, на микроитике получить интернет через IPSec туннель .
ведь нельзя же на микротике прописать в
ip ipsec policies прописать src-address=0.0.0.0/24 st-address=0.0.0.0/0

так же ситуация может быть и обратная , отдать интернет через туннель .

или внутри IPsec поднимать еще что то, например GRE ? Или есть решение.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Попробуйте прописать в роутах 0.0.0.0/0 и гетевэй адрес DFL.... единственно там нужно будет с метрикой играться, дабы сам туннель не порвался


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

замечательно , с метрикой тут все понятно . надо писать с большей метрикой метрикой чем до точки терминации.

но

Код: Выделить всё

ip ipsec policy print 

      src-address=10.10.30.0/24 src-port=any dst-address=10,10,17,0/0 dst-port=any
       protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
       sa-src-address=10.251.196.103 sa-dst-address=10.251.167.225
       proposal=default priority=0
 


в качестве src-address=10.10.30.0/24
и
dst-address=10,10,17,0/0

я хочу прописать 0,0,0,0/
тем самым сказать туннелю . что на разных концах у него все возможные сети могут быть .
а трафиком рулить уже через правила и маршурутизацию


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Мне кажется с 0.0.0.0/0 на двух концах не взлетит... (((


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Не взлетает - проверено ... микротик просто отказывается работать ....
варианты решения какие ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Наверно вариантов тут два(на мой взгляд):

Первый вариант:
1) описывать туннель как отдельное подключение, то есть туннелю давать адресацию, описывать шлюз, и так далее
2) на основном подключении убрать шлюз как дефолтный,но чтобы не было разрыва, явно и в ручном режиме описать
те сети которые нужны для поднятия туннеля
3) делаем(описываем) туннель - как дефолтным шлюзом в мир....
Сразу говорю - мы так раньше и делали, схема и логика рабочая, поясню более подробно:
подключались мы к ростелекому, сети их в городе мы знали,поэтому в настройках рррое (да и не суть важно)
галочку (делать подключение по умолчанию) не ставили, а чтобы коннект(сессия) была, явно описывали сети ростелекома через
профиль. Тем самым мы получали двойную выгоду, мы подключались к провайдеру, могли лазить по его ресурсам,
но в глобал доступа не было(не было шлюза по умолчанию). А трафик у нас раньше считался по мегабайтно - налипнуть можно в раз.
Потом создавали туннели (кто ГРЕ,кто РРТР) на работу/туда где халява (в рамках адресации провайдера) и
при поднятии туннелей он был уже как дефолтный.

Второй вариант (логически-правильный,но более сложный):
Маркировать (как-то и по каким-то критериям) нужный трафик (от нужных клиентов) и этот трафик явно заворачивать в туннель,
или маркировать всё локальное и отправлять не в туннель....а туннель сделать как дефолтным каналом.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Vlad-2 писал(а): описывать туннель как отдельное подключение, то есть туннелю давать адресацию, описывать шлюз, и так далее

вот тут и встала проблема


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Начните с простого, возьмите туннели сделайте на том же GRE, он поддерживает IPsec,
но советую пока не трогать его, просто сделайте туннели, дайте им какую то (главное не пересекающую с вашими сетями)
сеть (лучше маленького класса, скажем 192.168.35.0/30) и сделайте чтобы они пинговались с двух сторон.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

GRE режет на уровне свичей провайдер , поэтому он отпадает :-)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

SSTP.... решит все проблемы с провайдером.


Ответить