Ipsec с bgp

Обсуждение оборудования и его настройки
Ответить
Monstr
Сообщения: 4
Зарегистрирован: 11 ноя 2013, 16:19

Добрый день.
Весь мозг уже сломал. Суть проблемы:
Есть 2 Mikrotik CCR1036 12G-4S. Один из них имеет статический адрес - с ним все просто.
А вот на втором настроен bgp, анонсирующий мою сеть 3.3.3.0/24. И 2 аплинка на провайдеров с пирными ip. На первого провайдера 1.1.1.1/30, на второго 2.2.2.1/30.
Так вот! на 1 ETH порт настроен 3.3.3.1/24.

При поднятии ipsec соединения Mikrotik пытается его поднять с 1.1.1.1.
Как мне его заставить быть инициатором с ip 3.3.3.1? :ny_tik:

Сети естественно все заменены, чтобы не нагружать мозг лишней информацией.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ех, с BGP дел не имел, к сожалению не довелось чего то.

Потому просто предположение, а с маршрутами у вас чего?


Есть интересная задача и бюджет? http://mikrotik.site
Monstr
Сообщения: 4
Зарегистрирован: 11 ноя 2013, 16:19

С маршрутами все прекрасно. Они автоматически подгружаются по bgp протоколу и насчитывают 476332 маршрута.
Но вот в настройках ipsec хотелось бы видеть в явном виде галочку passive. И ОЧЕНЬ хотелось бы видеть sourse-address для поднятия коннекта, ну или хотябы soure-interface

Подскажите куда писать, чтоб рассмотрели возможность добавления в следующей версии прошивки?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну так вы же можете например EoIP тоннель поднять и на него ипсек уже прикрутить. По крайней мере на нескольких l2tp у меня это выходило


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Monstr писал(а):
Подскажите куда писать, чтоб рассмотрели возможность добавления в следующей версии прошивки?

support@mikrotik.com вроде бы было всегда.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Monstr
Сообщения: 4
Зарегистрирован: 11 ноя 2013, 16:19

vqd писал(а):Ну так вы же можете например EoIP тоннель поднять и на него ипсек уже прикрутить. По крайней мере на нескольких l2tp у меня это выходило

Самое интересное, что мне нужна абсолютно обратная ситуация! ipsec, а внутри него EoIP. Т.к. EoIP не шифрованый канал.
И я не думаю, что EoIP будет подниматься с моего, НЕ пирного, адреса.


Monstr
Сообщения: 4
Зарегистрирован: 11 ноя 2013, 16:19

На будущее, Может это и не правильно, но я решил данную проблему так:
В фаерволе:

Для пирных сетей поставил дропать все пакеты, кроме второго пирного адреса.
/ip firewall filter
chain=output action=drop src-address=1.1.1.1 dst-address=!1.1.1.2
chain=output action=drop src-address=2.2.2.1 dst-address=!2.2.2.2

И завернул все пакеты внутренней сети на один из внешних адресов моей сети.
/ip firewall nat
chain=srcnat action=netmap to-addresses=3.3.3.100 src-address=10.10.10.0/24

Добавил bridge и дал ему ip 3.3.3.100, не добавляя туда портов.

В итоге получилось, что ipsec поднимается с 3.3.3.100, Внутренняя сеть тоже выходит в интернет с ip 3.3.3.100.

На 1 порту настроен ip 3.3.3.1, который является шлюзом для реальных ip адресов моей сети, воткнутых в 1 порт.

Вдруг кому пригодится.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Может конечно ошибаюсь
Но скажем подняли вы EoIP да он не шифруется, но когда вы сверху прикрутите ипсек то трафик же внутри тоннеля будет шифроваться


Есть интересная задача и бюджет? http://mikrotik.site
Ответить