Ipsec на туннельных интерфейсах.

Обсуждение ПО и его настройки
Ответить
mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

Имеется следующая схема:

Куча офисов с RB 750 и Центр - впн Концентратор RB 1200.
Между офисами и центром подняты GRE туннели. У офисов и возможны несколько провайдеров следовательно несколько GRE туннелей до центра. У офисов возможны динамические IP от провайдера.

Задача, каким-то образом шифровать весь траффик уходящий в GRE туннель.
К сожалению на микротиках я не нашел возможность вешать правила ipsec конкретно на интерфейс.
Правило ipsec в направлении центр - офис я указать не могу, т.к. src не всегда известен, в центре куча сетей, многие из них заранее не известны да и работает OSPF.
Правило в направлении офис - центр не могу указать по этой же причине.
Привязать к ip на физическом интерфейсе тоже невозможно поскольку кое-где имеет место быть динамика.
Вопрос, как шифровать все что улетает в туннельный интерфейс?

ЗЫ единственное что пока придумал, это описать в правилах Ipsec все серые сети.


ravakyan
Сообщения: 3
Зарегистрирован: 31 окт 2011, 13:26

Добрый день.
У меня такая схема работает, настраиваем IPSec туннели для каждого филиала на микротике в ЦО, для клиентов с динамическим IP адресом необходимо в настройках IPSec вписать:
Peer Address - 0.0.0.0/0
IPSec Policy- SA Dst. Address 0.0.0.0/0
при написании адреса, обязательно использовать нулевую маску /0 - без нее Микротик будет слушать не все адреса, а только 0.0.0.0 - по сути, работать не будет.


mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

ravakyan писал(а):Добрый день.
У меня такая схема работает, настраиваем IPSec туннели для каждого филиала на микротике в ЦО, для клиентов с динамическим IP адресом необходимо в настройках IPSec вписать:
Peer Address - 0.0.0.0/0
IPSec Policy- SA Dst. Address 0.0.0.0/0
при написании адреса, обязательно использовать нулевую маску /0 - без нее Микротик будет слушать не все адреса, а только 0.0.0.0 - по сути, работать не будет.


Добрый день.

Микротик не позволяет указать префикс сети в SA Dst. Address, расскажите пожалуйста подробнее как у Вас сделано?

И ещё не совсем понятно как шифровать пакеты с неопределенным адресом назначения.

Вот есть у меня следующая схема к примеру:



lan (1,2,3,...,x) -- rA ---- rБ -- lanБ
РоутеруА в полиси я могу указать - шифровать пакеты до lanБ поскольку она известна..
РоутеруБ я так сделать не могу поскольку за роутеромА довольно неопределенное количество сетей.
Тоесть, по сути дела мне надо шифровать все пакеты уходящие через интерфейс обстрагируясь от адреса назначения этого пакета.
Таким интерфейсом может быть ВПН между роутерами А и Б.
Вот смотрите что получается:

Код: Выделить всё

[admin@M1] > ip ipsec policy add action=encrypt dst-port=any tunnel=no src-address=172.24.2.0/24 dst-address=172.24.1.0/24 sa-src-address=10.16.1.1 sa-dst-address=10.16.1.2 proposal=default   
failure: transport mode policy must have /32 masks
[admin@M1] > ip ipsec policy add action=encrypt dst-port=any tunnel=no src-address=0.0.0.0/32 dst-address=0.0.0.0/32 sa-src-address=10.16.1.1 sa-dst-address=10.16.1.2 proposal=default               
failure: transport mode policy must match sa endpoints
[admin@M1] > ip ipsec policy add action=encrypt dst-port=any tunnel=no src-address=0.0.0.0/32 dst-address=10.16.1.2/32 sa-src-address=10.16.1.1 sa-dst-address=10.16.1.2 proposal=default       
failure: transport mode policy must match sa endpoints
[admin@M1] > ip ipsec policy add action=encrypt dst-port=any tunnel=no src-address=10.16.1.1/32 dst-address=10.16.1.2/32 sa-src-address=10.16.1.1 sa-dst-address=0.0.0.0/0 proposal=default         
invalid value for argument ip


172.24.2.0 - одна из сетей за роутеромА
172.24.1.0 - сеть за роутеромБ
10.16.1.1 - впн интерфейс роутераА
10.16.1.2 - впн интерфейс роутераБ

Вводные:
1) На стороне роутераБ динамический IP адрес
2) За роутеромА изменяемое количество сетей, мы никогда не можем сказать с каким src прийдет пакет в сторону сети 172.24.1.0/24
3) Мы точно не знаем какой будет dst у пакета из сети 172.24.1.0/24
4) Туннельный режим нам не нужен поскольку трафик уже туннелируется ВПН соединением.


mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

fix


Ответить