EoIP + IPSec
-
- Сообщения: 4
- Зарегистрирован: 12 янв 2017, 12:41
Подскажите начинающему. Есть работающий EoIP туннель. Как сделать на нем IPSec шифрование?
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
cooper_zlat писал(а):Подскажите начинающему. Есть работающий EoIP туннель. Как сделать на нем IPSec шифрование?
Если версия RouterOS не сильно старая (посмотрел сейчас, в 6.33 уже есть), достаточно в свойствах EoIP туннеля указать параметр ipsec-secret.
При необходимости настроить IPSec Proposals.
-
- Сообщения: 4
- Зарегистрирован: 12 янв 2017, 12:41
а можете в двух словах объяснить про IPSec Proposals.
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
В двух словах - там создаются профили, регулирующие использование алгоритмов шифрования.
Подробнее в вики на русском.
Подробнее в вики на русском.
-
- Сообщения: 4
- Зарегистрирован: 12 янв 2017, 12:41
спасибо!!!!! буду пробовать. уже обновляю прошивку )
-
- Сообщения: 4
- Зарегистрирован: 12 янв 2017, 12:41
возник вопрос. при заполнении поля IP Sec secret в тоннеле требуется ввести local address. что тут вводить в случае если у микротика нет как такового адреса? или нужно присвоить адрес? любой адрес из адресного пространства имеющейся сети ввожу - компы не пингуются. только убираю секрет и local address - все пингуется.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
cooper_zlat писал(а):возник вопрос. при заполнении поля IP Sec secret в тоннеле требуется ввести local address. что тут вводить в случае если у микротика нет как такового адреса? или нужно присвоить адрес? любой адрес из адресного пространства имеющейся сети ввожу - компы не пингуются. только убираю секрет и local address - все пингуется.
1) На сколько я знаю, и Вы должны знать - что при использовании шифрованного канала, между сторонами должно
произойти handshake (дружеское рукопожатие), а как поздороваться если не знать с кем?
Поэтому при создании туннелей, с IP-secret'ом - надо заполнять оба поля (и локал адрес в том числе)
2) Снять(отключить) галочку Allow Fast Path (на GRE требуется точно).
3) Ну и это банально, но повторюсь - и конечно, установить пароль одинаковый с обеих сторон.
На счёт адреса - если его нет, (хотя как у роутера нет адреса?), создайте/дайте ему адрес какой то или сделайте бутерброд - создайте обычный туннель и уже в нём можно запустить уже шифрованный.
Сразу говорю - совет дал и в рамках как я понял, и как пошла мысля.
Микротик это Лего-конструктор, извращаться можно как угодно...
P.S.
(и зачем всем понадобилось резко шифрования)