IPsec с CISCO (multiple split networks)

Обсуждение ПО и его настройки
Ответить
7Upers
Сообщения: 3
Зарегистрирован: 02 фев 2018, 12:49

Добрый день!

Есть десяток туннелей с наших маршрутизаторов (mikrotik RB1200)
встречные как правило CISCO ASA
и всегда необходим доступ из нашей сети /24 или /32 к нескольким ресурсам в сети встречной стороны
как правило они делают ACL на своей стороне в который пермитят несколько узлов - и используют этот ACL для конфигурации политики
routerOS ранее не имела возможности анонсировать в политике несколько узлов/сетей (по словам тех. специалистов в России сертифицированных микротик), да и мы испробовали все доступные нам варианты прежде, чем обращаться к ним.

что бы выйти из положения мы просили встречную сторону использовать ACL в политике в котором всего одна сеть охватывающая все узлы к которым необходим доступ, что бы сегменты совпадали в политиках с двух сторон - иначе вторая фаза не встает. И они вынуждены делать дополнительный ACL на output что бы ограничить наш доступ к остальным ресурсам сети.
это не всегда удобно. И сейчас есть не поднятый туннель т.к. встречная сторона не может реализовать аналогичную схему т.к. при такой настройке у них ломается NAT

Но недавно была зарелизина версия 6.41
и в ченжлоге есть такая запись:

What's new in 6.41 (2017-Dec-22 11:55):
.....
*) ike2 - added support for multiple split networks;

я обновился - и начал пробовать настроить политику с несколькими сетями/узлами
но ни каких изменений в интерфейсе (webfig, console) предполагающих добавить такую политики не обнаружил.

Кто знает, как правильно это делается?
Или эта запись в ченжлоге не о моем случае?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Не очень понял, в чем проблема, или недопонял задачу, или:

У вас есть 1 пир.

в IPSec - Policy добавте несколько политик, с указанием SA пиров своего и противоположного.

ХХХ - ваш пир, УУУ пир противоположный

Код: Выделить всё

add src-address=192.168.10.0/24 src-port=any dst-address=192.168.20.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0
add src-address=192.168.10.0/24 src-port=any dst-address=192.168.21.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0
add src-address=192.168.10.0/24 src-port=any dst-address=192.168.22.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0
add src-address=192.168.10.0/24 src-port=any dst-address=192.168.23.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0


Так можно указывать адреса вплоть до /32


7Upers
Сообщения: 3
Зарегистрирован: 02 фев 2018, 12:49

я так раньше до этого обновления делал - и это не работало
вторая фаза не вставала , в логах была запись указывающая, что не совпадают сегменты

это стало работать после обновления? или раньше тоже работало?
Вы это проверяли?

спасибо за очень быстрый ответ!


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

У меня работает с последней прошивкой, и работало до этого (правда я сейчас переезжаю на ipip и маршрутизацию, ибо тут даже интерфейса нет - управляемость так себе)

Хотя могу попробовать на новом роутере настроить на асу таким образом тоннель ... сообщение было на циске или микре?


7Upers
Сообщения: 3
Зарегистрирован: 02 фев 2018, 12:49

было на микротике!
и вторая фаза стояла в состоянии larval потом падала по таймауту!

в логах вот такая запись 2016-12-15 16:00:13: [YYY.YYY.YYY.YYY] ERROR: notification INVALID-ID-INFORMATION received in informational exchange.
и ip address дальней стороны - значит соединение ломается по инициативе дальней стороны с этим сообщением!

нашел RFC на ipsec сообщения об ошибках - вобщем там сказано, что такое сообщение INVALID-ID-INFORMATION следует передать встречной стороне если обнаружено не совпадение сегментов сети в политике.

у нас вариантов перейти на другой способ маршрутизации нет - условия диктует встречная сторона!


Если Вас не затруднит, попробуйте на тестовой стенде эту схему!
Спасибо!


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Необходимо создать для каждой подсети свое полиси и изменить level на unique


Ответить