IPSec Mikrotik 450
Добавлено: 12 апр 2011, 17:56
Приобрел два девайса.
Настраиваю на первых интерфейсах LAN, на вторых WAN. Собираю их как стенд для проверки работоспособности настроек по схеме:
К LAN портам подключаю ПК1 и ПК2 соответственно к R1 и R2, WAN порты соединяю напрямую.
ПК1 192.168.12.2 ПК1 192.168.12.2
| |
LAN 192.168.12.1 LAN 192.168.7.1
R1 R2
WAN 192.168.1.2------------WAN 192.168.1.1
Настраиваю IPSec по инструкции:
Для создания простейшего транспортного IPSec подключения между двумя маршрутизаторами нужно:
на первом маршрутизаторе выполнить:
/ip ipsec policy add sa-src-address=192.168.1.1 sa-dst-address=192.168.1.2 action=encrypt
/ip ipsec peer add address=192.168.1.2/24 secret="drivermania.ru" generate-policy=yes
на втором маршрутизаторе выполнить:
/ip ipsec policy add sa-src-address=192.168.1.2 sa-dst-address=192.168.1.1 action=encrypt
/ip ipsec peer add address=192.168.1.1 secret="drivermania.ru"
Также на обоих маршрутизаторах необходимо разрешить используемые протоколами IPSec порты:
/ip firewall add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no
Если у вас не возникло никаких трудностей с вышеописанным, откройте статистику и посмотрите шифруются ли пакеты
ip ipsec> counters print
out-accept: 7
out-accept-isakmp: 0
out-drop: 0
out-encrypt: 8
in-accept: 16
in-accept-isakmp: 0
in-drop: 0
in-decrypted: 7
in-drop-encrypted-expected: 0
В случае использования IPSec в туннельном режиме для объединения сетей с адресами 192.168.10.0/24 и 192.168.20.0/24 правила будут выглядеть следующим образом.
/ip firewall nat add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 out-interface=public action=masquerade
/ip ipsec policy add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=encrypt tunnel=yes sa-src-address=192.168.1.1 sa-dst-address=192.168.1.2
/ip ipsec peer add address=192.168.1.2 exchange-mode=aggressive secret="drivermania.ru"
и
/ip firewall nat add chain=srcnat src-address=192.168.20.0/24 dst-address=192.168.10.0/24 out-interface=public action=masquerade
/ip ipsec policy add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=encrypt tunnel=yes sa-src-address=192.168.1.2 sa-dst-address=192.168.1.1
/ip ipsec peer add address=192.168.1.1 exchange-mode=aggressive secret="drivermania.ru"
В результате получаю, что туннель поднимается, пинги WAN to WAN проходят, LAN to LAN нет.
Помогите плиз разобраться.
Настраиваю на первых интерфейсах LAN, на вторых WAN. Собираю их как стенд для проверки работоспособности настроек по схеме:
К LAN портам подключаю ПК1 и ПК2 соответственно к R1 и R2, WAN порты соединяю напрямую.
ПК1 192.168.12.2 ПК1 192.168.12.2
| |
LAN 192.168.12.1 LAN 192.168.7.1
R1 R2
WAN 192.168.1.2------------WAN 192.168.1.1
Настраиваю IPSec по инструкции:
Для создания простейшего транспортного IPSec подключения между двумя маршрутизаторами нужно:
на первом маршрутизаторе выполнить:
/ip ipsec policy add sa-src-address=192.168.1.1 sa-dst-address=192.168.1.2 action=encrypt
/ip ipsec peer add address=192.168.1.2/24 secret="drivermania.ru" generate-policy=yes
на втором маршрутизаторе выполнить:
/ip ipsec policy add sa-src-address=192.168.1.2 sa-dst-address=192.168.1.1 action=encrypt
/ip ipsec peer add address=192.168.1.1 secret="drivermania.ru"
Также на обоих маршрутизаторах необходимо разрешить используемые протоколами IPSec порты:
/ip firewall add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no
Если у вас не возникло никаких трудностей с вышеописанным, откройте статистику и посмотрите шифруются ли пакеты
ip ipsec> counters print
out-accept: 7
out-accept-isakmp: 0
out-drop: 0
out-encrypt: 8
in-accept: 16
in-accept-isakmp: 0
in-drop: 0
in-decrypted: 7
in-drop-encrypted-expected: 0
В случае использования IPSec в туннельном режиме для объединения сетей с адресами 192.168.10.0/24 и 192.168.20.0/24 правила будут выглядеть следующим образом.
/ip firewall nat add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 out-interface=public action=masquerade
/ip ipsec policy add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=encrypt tunnel=yes sa-src-address=192.168.1.1 sa-dst-address=192.168.1.2
/ip ipsec peer add address=192.168.1.2 exchange-mode=aggressive secret="drivermania.ru"
и
/ip firewall nat add chain=srcnat src-address=192.168.20.0/24 dst-address=192.168.10.0/24 out-interface=public action=masquerade
/ip ipsec policy add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=encrypt tunnel=yes sa-src-address=192.168.1.2 sa-dst-address=192.168.1.1
/ip ipsec peer add address=192.168.1.1 exchange-mode=aggressive secret="drivermania.ru"
В результате получаю, что туннель поднимается, пинги WAN to WAN проходят, LAN to LAN нет.
Помогите плиз разобраться.