Добрый день.
Весь мозг уже сломал. Суть проблемы:
Есть 2 Mikrotik CCR1036 12G-4S. Один из них имеет статический адрес - с ним все просто.
А вот на втором настроен bgp, анонсирующий мою сеть 3.3.3.0/24. И 2 аплинка на провайдеров с пирными ip. На первого провайдера 1.1.1.1/30, на второго 2.2.2.1/30.
Так вот! на 1 ETH порт настроен 3.3.3.1/24.
При поднятии ipsec соединения Mikrotik пытается его поднять с 1.1.1.1.
Как мне его заставить быть инициатором с ip 3.3.3.1?
Сети естественно все заменены, чтобы не нагружать мозг лишней информацией.
Ipsec с bgp
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ех, с BGP дел не имел, к сожалению не довелось чего то.
Потому просто предположение, а с маршрутами у вас чего?
Потому просто предположение, а с маршрутами у вас чего?
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 4
- Зарегистрирован: 11 ноя 2013, 16:19
С маршрутами все прекрасно. Они автоматически подгружаются по bgp протоколу и насчитывают 476332 маршрута.
Но вот в настройках ipsec хотелось бы видеть в явном виде галочку passive. И ОЧЕНЬ хотелось бы видеть sourse-address для поднятия коннекта, ну или хотябы soure-interface
Подскажите куда писать, чтоб рассмотрели возможность добавления в следующей версии прошивки?
Но вот в настройках ipsec хотелось бы видеть в явном виде галочку passive. И ОЧЕНЬ хотелось бы видеть sourse-address для поднятия коннекта, ну или хотябы soure-interface
Подскажите куда писать, чтоб рассмотрели возможность добавления в следующей версии прошивки?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну так вы же можете например EoIP тоннель поднять и на него ипсек уже прикрутить. По крайней мере на нескольких l2tp у меня это выходило
Есть интересная задача и бюджет? http://mikrotik.site
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Monstr писал(а):
Подскажите куда писать, чтоб рассмотрели возможность добавления в следующей версии прошивки?
support@mikrotik.com вроде бы было всегда.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 4
- Зарегистрирован: 11 ноя 2013, 16:19
vqd писал(а):Ну так вы же можете например EoIP тоннель поднять и на него ипсек уже прикрутить. По крайней мере на нескольких l2tp у меня это выходило
Самое интересное, что мне нужна абсолютно обратная ситуация! ipsec, а внутри него EoIP. Т.к. EoIP не шифрованый канал.
И я не думаю, что EoIP будет подниматься с моего, НЕ пирного, адреса.
-
- Сообщения: 4
- Зарегистрирован: 11 ноя 2013, 16:19
На будущее, Может это и не правильно, но я решил данную проблему так:
В фаерволе:
Для пирных сетей поставил дропать все пакеты, кроме второго пирного адреса.
/ip firewall filter
chain=output action=drop src-address=1.1.1.1 dst-address=!1.1.1.2
chain=output action=drop src-address=2.2.2.1 dst-address=!2.2.2.2
И завернул все пакеты внутренней сети на один из внешних адресов моей сети.
/ip firewall nat
chain=srcnat action=netmap to-addresses=3.3.3.100 src-address=10.10.10.0/24
Добавил bridge и дал ему ip 3.3.3.100, не добавляя туда портов.
В итоге получилось, что ipsec поднимается с 3.3.3.100, Внутренняя сеть тоже выходит в интернет с ip 3.3.3.100.
На 1 порту настроен ip 3.3.3.1, который является шлюзом для реальных ip адресов моей сети, воткнутых в 1 порт.
Вдруг кому пригодится.
В фаерволе:
Для пирных сетей поставил дропать все пакеты, кроме второго пирного адреса.
/ip firewall filter
chain=output action=drop src-address=1.1.1.1 dst-address=!1.1.1.2
chain=output action=drop src-address=2.2.2.1 dst-address=!2.2.2.2
И завернул все пакеты внутренней сети на один из внешних адресов моей сети.
/ip firewall nat
chain=srcnat action=netmap to-addresses=3.3.3.100 src-address=10.10.10.0/24
Добавил bridge и дал ему ip 3.3.3.100, не добавляя туда портов.
В итоге получилось, что ipsec поднимается с 3.3.3.100, Внутренняя сеть тоже выходит в интернет с ip 3.3.3.100.
На 1 порту настроен ip 3.3.3.1, который является шлюзом для реальных ip адресов моей сети, воткнутых в 1 порт.
Вдруг кому пригодится.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Может конечно ошибаюсь
Но скажем подняли вы EoIP да он не шифруется, но когда вы сверху прикрутите ипсек то трафик же внутри тоннеля будет шифроваться
Но скажем подняли вы EoIP да он не шифруется, но когда вы сверху прикрутите ипсек то трафик же внутри тоннеля будет шифроваться
Есть интересная задача и бюджет? http://mikrotik.site