EoIP + IPSec

Обсуждение ОС и пр.
cooper_zlat
Сообщения: 4
Зарегистрирован: 12 янв 2017, 12:41

EoIP + IPSec

Сообщение cooper_zlat » 12 янв 2017, 12:49

Подскажите начинающему. Есть работающий EoIP туннель. Как сделать на нем IPSec шифрование?
DmNuts
Сообщения: 175
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Re: EoIP + IPSec

Сообщение DmNuts » 12 янв 2017, 13:08

cooper_zlat писал(а):Подскажите начинающему. Есть работающий EoIP туннель. Как сделать на нем IPSec шифрование?

Если версия RouterOS не сильно старая (посмотрел сейчас, в 6.33 уже есть), достаточно в свойствах EoIP туннеля указать параметр ipsec-secret.
При необходимости настроить IPSec Proposals.
cooper_zlat
Сообщения: 4
Зарегистрирован: 12 янв 2017, 12:41

Re: EoIP + IPSec

Сообщение cooper_zlat » 12 янв 2017, 13:19

а можете в двух словах объяснить про IPSec Proposals.
DmNuts
Сообщения: 175
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Re: EoIP + IPSec

Сообщение DmNuts » 12 янв 2017, 13:35

В двух словах - там создаются профили, регулирующие использование алгоритмов шифрования.
Подробнее в вики на русском.
cooper_zlat
Сообщения: 4
Зарегистрирован: 12 янв 2017, 12:41

Re: EoIP + IPSec

Сообщение cooper_zlat » 12 янв 2017, 13:37

спасибо!!!!! буду пробовать. уже обновляю прошивку )
cooper_zlat
Сообщения: 4
Зарегистрирован: 12 янв 2017, 12:41

Re: EoIP + IPSec

Сообщение cooper_zlat » 13 янв 2017, 08:18

возник вопрос. при заполнении поля IP Sec secret в тоннеле требуется ввести local address. что тут вводить в случае если у микротика нет как такового адреса? или нужно присвоить адрес? любой адрес из адресного пространства имеющейся сети ввожу - компы не пингуются. только убираю секрет и local address - все пингуется.
Аватара пользователя
Vlad-2
Сообщения: 603
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

Re: EoIP + IPSec

Сообщение Vlad-2 » 13 янв 2017, 17:23

cooper_zlat писал(а):возник вопрос. при заполнении поля IP Sec secret в тоннеле требуется ввести local address. что тут вводить в случае если у микротика нет как такового адреса? или нужно присвоить адрес? любой адрес из адресного пространства имеющейся сети ввожу - компы не пингуются. только убираю секрет и local address - все пингуется.

1) На сколько я знаю, и Вы должны знать - что при использовании шифрованного канала, между сторонами должно
произойти handshake (дружеское рукопожатие), а как поздороваться если не знать с кем? :-)
Поэтому при создании туннелей, с IP-secret'ом - надо заполнять оба поля (и локал адрес в том числе)
2) Снять(отключить) галочку Allow Fast Path (на GRE требуется точно).
3) Ну и это банально, но повторюсь - и конечно, установить пароль одинаковый с обеих сторон.

На счёт адреса - если его нет, (хотя как у роутера нет адреса?), создайте/дайте ему адрес какой то или сделайте бутерброд - создайте обычный туннель и уже в нём можно запустить уже шифрованный.
Сразу говорю - совет дал и в рамках как я понял, и как пошла мысля.
Микротик это Лего-конструктор, извращаться можно как угодно...

P.S.
(и зачем всем понадобилось резко шифрования)
На работе(ах): CCR1016-12G, RB2011UAS-2HnD-IN и hAP lite
Дома: CCR1016-12G
Для тестов: hAP lite и что-то ещё по мелочи
MTCNA
MTCRE

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость