DHCP через IPSEC туннель. Есть вопрос.

Обсуждение оборудования и его настройки
Ответить
Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

Добрый день.
Есть две сети 192.168.7.х/24 и 192.168.3.х/24 . В обоих офисах есть белые ip. В качестве роутеров в обоих используются rb750gr3. Офисы объединены между собой через IPSEC туннель. Компы обоих офисов в одном домене windows 2012r2. DHCP сервер расположен на контроллере домена 192.168.3.1 в сети 192.168.3.х . На dhcp сервере я настроил область для сети 192.168.7.х . Не получается сделать так чтобы компы в сети 192.168.7.х получали ip с dhcp сревера 192.168.3.1.
На firewall микротиках всё открыто. Компы одного офиса видят компы другого офиса и наоборот.
Понятно что broadcast не пройдёт через туннель. Пробую как-то настроить dhcp relay, но пока не получается.
Вот некоторые настройки
на микротике в 7.х сети
IPsec политика
1 A src-address=192.168.7.0/24 src-port=any dst-address=192.168.3.0/24 dst-port=any protocol=all
action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=195.2.xxx.xxx
sa-dst-address=109.236.xxx.xxx proposal=myproposal1 ph2-count=1


[admin@RB750Gr3MD] /ip ipsec proposal> print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc li
pfs-group=modp1024
1 name="myproposal1" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc,3de
lifetime=30m pfs-group=modp1024


[admin@RB750Gr3MD] /ip ipsec peer> print
Flags: X - disabled, D - dynamic, R - responder
0 address=109.236.xxx.xxx/32 port=500 auth-method=pre-shared-key secret="xxx"
generate-policy=no policy-template-group=default exchange-mode=ike2 send-initial-contact=yes
hash-algorithm=sha256 enc-algorithm=aes-256,aes-128,3des dh-group=modp1024 dpd-interval=disable-dpd

на микротике в 3.х сети

[admin@Mikrotik750GR3] /ip ipsec policy> print
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default
0 TX* group=*4 src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes

1 A src-address=192.168.3.0/24 src-port=any dst-address=192.168.7.0/24 dst-port=any protocol=all action=encrypt
level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.236.xxx.xxx sa-dst-address=195.2.xxx.xxx
proposal=myproposal1 ph2-count=1

[admin@Mikrotik750GR3] /ip ipsec proposal> print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-128-cbc,3des lifetime=30m pfs-group=modp1024

1 name="myproposal1" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc,3des lifetime=30m
pfs-group=modp1024

[admin@Mikrotik750GR3] /ip ipsec peer> print
Flags: X - disabled, D - dynamic, R - responder

1 address=195.2.xxx.xxx/32 port=500 auth-method=pre-shared-key secret="xxx"
generate-policy=no policy-template-group=default exchange-mode=ike2 send-initial-contact=yes
hash-algorithm=sha256 enc-algorithm=aes-256,aes-128,3des dh-group=modp1024 lifetime=1d
dpd-interval=disable-dpd


Вернуться к началу
goufra
Сообщения: 24
Зарегистрирован: 29 янв 2018, 15:59

eoip прокиньте поверх ipsec , потом разрулите все это дело правила firewall. По другому не заработает.


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterBOARD»