Микротик интернет через IPsec

Vladimir22 · 16 ноя 2016, 10:01

Здравствуйте !

схема банальна

каким образом, на микроитике получить интернет через IPSec туннель .
ведь нельзя же на микротике прописать в
ip ipsec policies прописать src-address=0.0.0.0/24 st-address=0.0.0.0/0

так же ситуация может быть и обратная , отдать интернет через туннель .

или внутри IPsec поднимать еще что то, например GRE ? Или есть решение.

EdkiyGluk · 16 ноя 2016, 10:27

Попробуйте прописать в роутах 0.0.0.0/0 и гетевэй адрес DFL.... единственно там нужно будет с метрикой играться, дабы сам туннель не порвался

Vladimir22 · 16 ноя 2016, 10:46

замечательно , с метрикой тут все понятно . надо писать с большей метрикой метрикой чем до точки терминации.

но

Код: Выделить всё

ip ipsec policy print 

      src-address=10.10.30.0/24 src-port=any dst-address=10,10,17,0/0 dst-port=any 
       protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes 
       sa-src-address=10.251.196.103 sa-dst-address=10.251.167.225 
       proposal=default priority=0

в качестве src-address=10.10.30.0/24
и
dst-address=10,10,17,0/0

я хочу прописать 0,0,0,0/
тем самым сказать туннелю . что на разных концах у него все возможные сети могут быть .
а трафиком рулить уже через правила и маршурутизацию

EdkiyGluk · 16 ноя 2016, 11:10

Мне кажется с 0.0.0.0/0 на двух концах не взлетит... (((

Vladimir22 · 16 ноя 2016, 11:19

Не взлетает - проверено ... микротик просто отказывается работать ....
варианты решения какие ?

16 ноя 2016, 13:18

Наверно вариантов тут два(на мой взгляд):

Первый вариант:
1) описывать туннель как отдельное подключение, то есть туннелю давать адресацию, описывать шлюз, и так далее
2) на основном подключении убрать шлюз как дефолтный,но чтобы не было разрыва, явно и в ручном режиме описать
те сети которые нужны для поднятия туннеля
3) делаем(описываем) туннель - как дефолтным шлюзом в мир....
Сразу говорю - мы так раньше и делали, схема и логика рабочая, поясню более подробно:
подключались мы к ростелекому, сети их в городе мы знали,поэтому в настройках рррое (да и не суть важно)
галочку (делать подключение по умолчанию) не ставили, а чтобы коннект(сессия) была, явно описывали сети ростелекома через
профиль. Тем самым мы получали двойную выгоду, мы подключались к провайдеру, могли лазить по его ресурсам,
но в глобал доступа не было(не было шлюза по умолчанию). А трафик у нас раньше считался по мегабайтно - налипнуть можно в раз.
Потом создавали туннели (кто ГРЕ,кто РРТР) на работу/туда где халява (в рамках адресации провайдера) и
при поднятии туннелей он был уже как дефолтный.

Второй вариант (логически-правильный,но более сложный):
Маркировать (как-то и по каким-то критериям) нужный трафик (от нужных клиентов) и этот трафик явно заворачивать в туннель,
или маркировать всё локальное и отправлять не в туннель....а туннель сделать как дефолтным каналом.

Vladimir22 · 16 ноя 2016, 15:27

Vlad-2 писал(а): описывать туннель как отдельное подключение, то есть туннелю давать адресацию, описывать шлюз, и так далее

вот тут и встала проблема

16 ноя 2016, 16:01

Начните с простого, возьмите туннели сделайте на том же GRE, он поддерживает IPsec,
но советую пока не трогать его, просто сделайте туннели, дайте им какую то (главное не пересекающую с вашими сетями)
сеть (лучше маленького класса, скажем 192.168.35.0/30) и сделайте чтобы они пинговались с двух сторон.

Vladimir22 · 16 ноя 2016, 17:43

GRE режет на уровне свичей провайдер , поэтому он отпадает :-)

16 ноя 2016, 18:19

SSTP.... решит все проблемы с провайдером.

Микротик интернет через IPsec

Вход • Регистрация