День добрый.
Понадобилось настроить ipsec с freebsd.
Собственно есть опыт настройки freebsd-freebsd.
Сделал по аналогии без особого чтения манов по mikrotik - все заработало
Итого связка сетей к примеру 192.168.0.0/24 - 192.168.5.0/24 - работает.
Пошел далее, в соединенных сетях необходимо настроить OSPF.
Для этого в freebsd поднял GIF интерфейс, а на mikrotik ip-ip тунель и с горечью обнаружил что не работает ...
С freebsd уходят шифрованые пакеты на mikrotik, mikrotik их расшифровывает и ответ кидает у же в открытом виде через ip-ip тунель.
Начал читать маны и дошел до того что ip-ip тунель и IPSEC тунель это разные и не пересекающиеся вещи.
По логике работы Freebsd мы соединяем 2 локальных сети, а потом шифруем их IPSEC, т.е. демон понимает куда идет пакет и принудительно его шифрует если в IPSEC есть нужная политика.
У микротика видимо своя логика и ему плевать на настроенный IPSEC и что пакеты нужно шифровать, он шурует их в открытом виде в открытый тунель IPIP, если есть такой настроенный.
Как я понял что для использования OSPF мне необходимо поднимать L2TP тунель (т.е. VPN ) шифровать его и уже в нем для OSPF делать смежные IP типа 192.168.200.1, 192.168.200.2
Пробовал в IPIP тунеле включать IPSEC по парольной фразе, но ни как не смог подобрать настройки для FREEBSD, пришел к выводу что этот режим только для связки mikrotik - mikrotik.
Народ наведите на верную мысль, как делать правильно ?
Уж очень мне не хочется поднимать VPN сервер L2TP ....
Mikrotik и IPSEC Freebsd
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
так вы поднимите какойнить EoIp
Ипсек иму же по идее пофиг чего шифровать. А на базе EoIp поднимите нормальную транспортную сеть, туда положите OSPF а трафик уже между сетями шифруйте с помощью IpSec
Ипсек иму же по идее пофиг чего шифровать. А на базе EoIp поднимите нормальную транспортную сеть, туда положите OSPF а трафик уже между сетями шифруйте с помощью IpSec
Есть интересная задача и бюджет? http://mikrotik.site
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Хотя мне кажется что OSPF и на GRE нормально заведется
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 104
- Зарегистрирован: 04 окт 2015, 21:38
vqd писал(а):так вы поднимите какойнить EoIp
Ипсек иму же по идее пофиг чего шифровать. А на базе EoIp поднимите нормальную транспортную сеть, туда положите OSPF а трафик уже между сетями шифруйте с помощью IpSec
Т.е. вы считаете что смена тунеля на EoIP заставит IPSEC Mikrotik шифровать трафик?
Как по мне так смена типа тунеля ни чего не решит ....
Я вот тут подумал, может как то нужно метить трафик и принудительно засовывать его в IPSEC ?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация: