Проблема с туннелем IPSEC

Обсуждение ПО и его настройки
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Все таки для простоты посоветовал бы ipip между микротиками именно завести ...
Оно так будет проще, гораздо проще ...

А с двумя провайдерами - на каком мт два? на ццр или на хексе?

И да, еще раз напомню - 3des у них не аппаратное, а вот AES аппаратное...


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

На hEX - 2 провайдера, на CCR - 4. Туннель строится по одному провайдеру.

А можно сделать так: на одной стороне ipip, а на другой - просто IPSEC?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

saszay писал(а): 18 фев 2018, 12:06 На hEX - 2 провайдера, на CCR - 4. Туннель строится по одному провайдеру.

А можно сделать так: на одной стороне ipip, а на другой - просто IPSEC?
В чем прелесть ipip - вы их можете построить несколько (и если не будет связи у одного из провайдеров - все будет работать через другого)

Т.е. по сути вы можете два провайдера с хекса прицепить к четырем провайдерам ццр каждый ... при этом пока жив хоть один провайдер на обоих сторонах связь у вас будет. Что на мой взгляд просто шикарно

Нет, с одной ipip с другой ipsec не получится....


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

saszay писал(а): 18 фев 2018, 12:26 Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис
Вы поднимаете IPIP (с двух сторон), всё, логический туннель поднялся.
На интерфейсах IPIP (на роутерах) задаёте какую то сетку /30 и на базе её делается IPSEC
И уже через поднятый IPSec можно загонять данные.
(как пример)....

И Вы работаете с роутерами,но почему то путаете, IPIP,GRE - это название туннелей (протоколы),
такие интерфейсы есть в роутере (когда их создаёшь).
IPSEC - это технология шифрования (хотя и тоже и протокол).
Поэтому поднять туннель и зашифровать его = по сути две операции...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

saszay писал(а): 18 фев 2018, 12:26 Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис
Почему не работает? Сам канал от роутера до роутера - шифрованный
Ну вам виднее.

Проще на самом деле посмотреть когда все включено - что там происходит, чем со слов разбираться...


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Vlad-2 писал(а): 18 фев 2018, 12:34
saszay писал(а): 18 фев 2018, 12:26 Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис
Вы поднимаете IPIP (с двух сторон), всё, логический туннель поднялся.
На интерфейсах IPIP (на роутерах) задаёте какую то сетку /30 и на базе её делается IPSEC
И уже через поднятый IPSec можно загонять данные.
(как пример)....
Как то у вас все сложно ... если не использовать динамическую маршрутизацию - можно обойтись без адресов :)

в ипсек вы просто заворачиваете протокол ip-encap на двух концах тоннеля.

А что там внутри, есть адреса или нет - не суть важно ...

как пример (как раз для Ipip)

/ip ipsec policy add action=encrypt disabled=no dst-address=RemoteISPIP/32 dst-port=any ipsec-protocols=esp level=require proposal=default protocol=ipencap src-address=LocalISPIP/32 src-port=any tunnel=no


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Попробовал поднять IPIP туннель. В филиале в логах валится ошибка remoteHost peer sent packet for dead phase 2


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

saszay писал(а): 18 фев 2018, 13:16 Попробовал поднять IPIP туннель. В филиале в логах валится ошибка remoteHost peer sent packet for dead phase 2
Отключите весь IPSEC Для данного хоста с обоих сторон.
После этого в ipip тоннеле просто вставте с обеих сторон ключ ipsec

И обязательно в тоннеле указывайте и ремот и локал адрес так как у вас несколько провайдеров


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Вроде чуть задышало. Только почему-то не все пакеты заворачивает в туннель, отдельные пытаются пойти по маршруту по умолчанию...


Ответить