Туннель с шифрование внутри канала L2

Обсуждение ПО и его настройки
Ответить
Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

Доброго времени суток!

Так как с микротиком недавно познакомился, прошу помощи у уважаемых участников форума.
Проблема такая: есть два офиса (подсети 192.168.229.0/24 и 192.158.218.0/24), между которыми провайдер предоставляет L2 канал. Необходимо внутри этого канала настроить туннель с шифрованием. Подскажите как лучше это сделать.
С уважением


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

(простое теоретическое решение)
Поверх провайдерского туннеля (L2) сделать/создать свой
уже программный туннель (на микротиках) и его уже сделать с шифрованием.

Так как у Вас между офисами уже L2 и можно сделать статические адреса,
а это очень удобно, поэтому создавайте туннель, проверяйте его, потом уже
накручивайте на него шифрование, опять проверяете, и уже потом,
этот туннель надо использовать для маршрутизации, то есть трафик
загонять надо будет уже явно в шифрованный туннель/интерфейс туннеля.

P.S.
Читал Ваши предыдущие сообщения, багаж опыта у Вас очень мал,
поэтому советую как самое простое:
а) создайте GRE-туннель (на обоих микротиках) с опцией keepalive
б) дайте GRE-туннелям (обоим) адресацию "узкую", скажем 192.168.30.1 и 192.168.30.2
(сетка 192.168.30.0/30)
в) меняете потом маршрутизацию с обоих сторон, что удалённая сеть доступна через
(указываете IP узкой сети, 192.168.30.2) и такой же маршрут и с той стороны.
г) проверяете (с компа) трассеротом, что Вы доходите до компа в другом офисе
и внутри трассеровки есть адрес 192.168.30.хх
д) после всего этого, заходите внутрь (свойства) GRE-туннелей и включаете там
галочку IPsec Secret и задаёте пароль. Естественно и с той стороны также надо сделать.
Туннели могут не моментально, но должны подняться.....
Как-то так...

P.P.S.
Файрволы на компах/микротиках должны быть выключены.
Трассировку использовать на компе с ключом -d

Ну и не совсем понимаю логическое развитие работы офиса и сети Вашей:
то между офисами полный L2 доступ, да ещё и сделанный провайдером,
потом в предыдущей тематике Вы делаете какие-то ограничения файрволами,
сейчас опять занимаетесь "сужением" связи между офисами.

Хочу предупредить: шифрование - это вообще тема не простая,
надо знать как адаптивно шифровать, шифрованием Вы можете положить
роутер(ы) и канал(связь) будет медленная, а если учесть (по предыдущей теме,
что там у Вас 1С) - это будет вообще плохо.
И почему-то нет упоминаний об Интернете, у Вас роутеры обслуживают подключение
к провайдеру, связь внешнюю?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

Благодарю за развернутый ответ.
Так как у нас сеть клиник, то по федеральному закону трафик между офисом и клиникой должен в обязательном порядке шифроваться.
Роутер, на котором надо настроить туннель, имеет только канал L2 выделенный провайдерам. Есть у другие роутеры с внешними ип адресами, которые обеспечивают выход в интернет, на них же настроены VPN туннели . На роутерах с внешними адресам я туннель настроил без проблем (IP Tunnel). В этом случае сбило столку, что канал L2 есть, но нет внешних ип адресов.
Заморочки с файрволом связаны были с тем, что надо было все запретить и разрешить только небольшое количество необходимых портов.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Дополню так:

1) в 2012-2013 частично-косвенно с ЛПУ и их подключением пересекался/участвовал
2) нам тоже провайдер (местный) дал нам L2 сеть между всеми ЛПУ в городе (вилан)
3) не совсем понимаю почему Вы растерялись при получении L2 сети, это же гибко,
удобно, простор для действий
4) между всеми ЛПУ === ВЕСЬ трафик === идёт через VipNet (а у Вас?)

В рамках сети L2 Вы можете делать что хотите, запустить туда технический трафик,
это не запрещено, сделать какие то уровни контроля и прочее, но всё что
уже медицинское ("чистая" сетка ЛПУ с доступами к базам и данным) должно
при выходе с ЛПУ шифроваться, официально разрешено это делать только
сертифицированными средствами, VipNet тут идеально подходит и работает.
Возможно можно и на Микротиках, но я не уверен.

Поэтому придумывайте сетку (IP-адресацию, скорее всего минимум /24 или даже с /23)
и ставите эту адресацию на железках VipNet, настраиваете доступы и всё.
Микротик даже тут и не нужен почти (но с ним гибче местами и удобно).
Хотя микротики (не везде) мы ставили для разных моментов (контроль доступа,
ограничения доступа к IPMI серверов локальными админами, получение доступов по сети
через другого провайдера и прочее). В рамках L2-сети можно же сделать кучу
подсетей, и их использовать как будет удобнее и т.д.
И не обязательно шифровать технические сети и их трафик. Хотя лишним не будет.
Надо смотреть явные условия контракта и законов.

P.S.
Для форумчан, ЛПУ - переводится как Лечебно-Профилактическое Учреждение
(суда входят больнички, поликлиники, лаборатории, фельдшерские пункты).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

У нас почти все клиники на StoneGATE с государственной сертификацией. Так как эти роутеры уже сняты с производства решили временно в новых клиниках использовать Микротик. Про VipNet слышал и более того планируем его покупать взамен микротиков, так как он тоже сертифицирован.


Ответить