EoIP + IPSec

Обсуждение ПО и его настройки
Ответить
cooper_zlat
Сообщения: 4
Зарегистрирован: 12 янв 2017, 12:41

Подскажите начинающему. Есть работающий EoIP туннель. Как сделать на нем IPSec шифрование?


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

cooper_zlat писал(а):Подскажите начинающему. Есть работающий EoIP туннель. Как сделать на нем IPSec шифрование?

Если версия RouterOS не сильно старая (посмотрел сейчас, в 6.33 уже есть), достаточно в свойствах EoIP туннеля указать параметр ipsec-secret.
При необходимости настроить IPSec Proposals.


cooper_zlat
Сообщения: 4
Зарегистрирован: 12 янв 2017, 12:41

а можете в двух словах объяснить про IPSec Proposals.


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

В двух словах - там создаются профили, регулирующие использование алгоритмов шифрования.
Подробнее в вики на русском.


cooper_zlat
Сообщения: 4
Зарегистрирован: 12 янв 2017, 12:41

спасибо!!!!! буду пробовать. уже обновляю прошивку )


cooper_zlat
Сообщения: 4
Зарегистрирован: 12 янв 2017, 12:41

возник вопрос. при заполнении поля IP Sec secret в тоннеле требуется ввести local address. что тут вводить в случае если у микротика нет как такового адреса? или нужно присвоить адрес? любой адрес из адресного пространства имеющейся сети ввожу - компы не пингуются. только убираю секрет и local address - все пингуется.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

cooper_zlat писал(а):возник вопрос. при заполнении поля IP Sec secret в тоннеле требуется ввести local address. что тут вводить в случае если у микротика нет как такового адреса? или нужно присвоить адрес? любой адрес из адресного пространства имеющейся сети ввожу - компы не пингуются. только убираю секрет и local address - все пингуется.

1) На сколько я знаю, и Вы должны знать - что при использовании шифрованного канала, между сторонами должно
произойти handshake (дружеское рукопожатие), а как поздороваться если не знать с кем? :-)
Поэтому при создании туннелей, с IP-secret'ом - надо заполнять оба поля (и локал адрес в том числе)
2) Снять(отключить) галочку Allow Fast Path (на GRE требуется точно).
3) Ну и это банально, но повторюсь - и конечно, установить пароль одинаковый с обеих сторон.

На счёт адреса - если его нет, (хотя как у роутера нет адреса?), создайте/дайте ему адрес какой то или сделайте бутерброд - создайте обычный туннель и уже в нём можно запустить уже шифрованный.
Сразу говорю - совет дал и в рамках как я понял, и как пошла мысля.
Микротик это Лего-конструктор, извращаться можно как угодно...

P.S.
(и зачем всем понадобилось резко шифрования)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить