Все таки для простоты посоветовал бы ipip между микротиками именно завести ...
Оно так будет проще, гораздо проще ...
А с двумя провайдерами - на каком мт два? на ццр или на хексе?
И да, еще раз напомню - 3des у них не аппаратное, а вот AES аппаратное...
Проблема с туннелем IPSEC
-
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
На hEX - 2 провайдера, на CCR - 4. Туннель строится по одному провайдеру.
А можно сделать так: на одной стороне ipip, а на другой - просто IPSEC?
А можно сделать так: на одной стороне ipip, а на другой - просто IPSEC?
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
В чем прелесть ipip - вы их можете построить несколько (и если не будет связи у одного из провайдеров - все будет работать через другого)
Т.е. по сути вы можете два провайдера с хекса прицепить к четырем провайдерам ццр каждый ... при этом пока жив хоть один провайдер на обоих сторонах связь у вас будет. Что на мой взгляд просто шикарно
Нет, с одной ipip с другой ipsec не получится....
-
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Вы поднимаете IPIP (с двух сторон), всё, логический туннель поднялся.
На интерфейсах IPIP (на роутерах) задаёте какую то сетку /30 и на базе её делается IPSEC
И уже через поднятый IPSec можно загонять данные.
(как пример)....
И Вы работаете с роутерами,но почему то путаете, IPIP,GRE - это название туннелей (протоколы),
такие интерфейсы есть в роутере (когда их создаёшь).
IPSEC - это технология шифрования (хотя и тоже и протокол).
Поэтому поднять туннель и зашифровать его = по сути две операции...
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Почему не работает? Сам канал от роутера до роутера - шифрованный
Ну вам виднее.
Проще на самом деле посмотреть когда все включено - что там происходит, чем со слов разбираться...
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Как то у вас все сложно ... если не использовать динамическую маршрутизацию - можно обойтись без адресов :)
в ипсек вы просто заворачиваете протокол ip-encap на двух концах тоннеля.
А что там внутри, есть адреса или нет - не суть важно ...
как пример (как раз для Ipip)
/ip ipsec policy add action=encrypt disabled=no dst-address=RemoteISPIP/32 dst-port=any ipsec-protocols=esp level=require proposal=default protocol=ipencap src-address=LocalISPIP/32 src-port=any tunnel=no
-
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
Попробовал поднять IPIP туннель. В филиале в логах валится ошибка remoteHost peer sent packet for dead phase 2
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Отключите весь IPSEC Для данного хоста с обоих сторон.
После этого в ipip тоннеле просто вставте с обеих сторон ключ ipsec
И обязательно в тоннеле указывайте и ремот и локал адрес так как у вас несколько провайдеров
-
- Сообщения: 30
- Зарегистрирован: 19 июл 2015, 19:39
Вроде чуть задышало. Только почему-то не все пакеты заворачивает в туннель, отдельные пытаются пойти по маршруту по умолчанию...