Добрый день!
Есть десяток туннелей с наших маршрутизаторов (mikrotik RB1200)
встречные как правило CISCO ASA
и всегда необходим доступ из нашей сети /24 или /32 к нескольким ресурсам в сети встречной стороны
как правило они делают ACL на своей стороне в который пермитят несколько узлов - и используют этот ACL для конфигурации политики
routerOS ранее не имела возможности анонсировать в политике несколько узлов/сетей (по словам тех. специалистов в России сертифицированных микротик), да и мы испробовали все доступные нам варианты прежде, чем обращаться к ним.
что бы выйти из положения мы просили встречную сторону использовать ACL в политике в котором всего одна сеть охватывающая все узлы к которым необходим доступ, что бы сегменты совпадали в политиках с двух сторон - иначе вторая фаза не встает. И они вынуждены делать дополнительный ACL на output что бы ограничить наш доступ к остальным ресурсам сети.
это не всегда удобно. И сейчас есть не поднятый туннель т.к. встречная сторона не может реализовать аналогичную схему т.к. при такой настройке у них ломается NAT
Но недавно была зарелизина версия 6.41
и в ченжлоге есть такая запись:
What's new in 6.41 (2017-Dec-22 11:55):
.....
*) ike2 - added support for multiple split networks;
я обновился - и начал пробовать настроить политику с несколькими сетями/узлами
но ни каких изменений в интерфейсе (webfig, console) предполагающих добавить такую политики не обнаружил.
Кто знает, как правильно это делается?
Или эта запись в ченжлоге не о моем случае?
IPsec с CISCO (multiple split networks)
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Не очень понял, в чем проблема, или недопонял задачу, или:
У вас есть 1 пир.
в IPSec - Policy добавте несколько политик, с указанием SA пиров своего и противоположного.
ХХХ - ваш пир, УУУ пир противоположный
Так можно указывать адреса вплоть до /32
У вас есть 1 пир.
в IPSec - Policy добавте несколько политик, с указанием SA пиров своего и противоположного.
ХХХ - ваш пир, УУУ пир противоположный
Код: Выделить всё
add src-address=192.168.10.0/24 src-port=any dst-address=192.168.20.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0
add src-address=192.168.10.0/24 src-port=any dst-address=192.168.21.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0
add src-address=192.168.10.0/24 src-port=any dst-address=192.168.22.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0
add src-address=192.168.10.0/24 src-port=any dst-address=192.168.23.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0
Так можно указывать адреса вплоть до /32
-
- Сообщения: 3
- Зарегистрирован: 02 фев 2018, 12:49
я так раньше до этого обновления делал - и это не работало
вторая фаза не вставала , в логах была запись указывающая, что не совпадают сегменты
это стало работать после обновления? или раньше тоже работало?
Вы это проверяли?
спасибо за очень быстрый ответ!
вторая фаза не вставала , в логах была запись указывающая, что не совпадают сегменты
это стало работать после обновления? или раньше тоже работало?
Вы это проверяли?
спасибо за очень быстрый ответ!
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
У меня работает с последней прошивкой, и работало до этого (правда я сейчас переезжаю на ipip и маршрутизацию, ибо тут даже интерфейса нет - управляемость так себе)
Хотя могу попробовать на новом роутере настроить на асу таким образом тоннель ... сообщение было на циске или микре?
Хотя могу попробовать на новом роутере настроить на асу таким образом тоннель ... сообщение было на циске или микре?
-
- Сообщения: 3
- Зарегистрирован: 02 фев 2018, 12:49
было на микротике!
и вторая фаза стояла в состоянии larval потом падала по таймауту!
в логах вот такая запись 2016-12-15 16:00:13: [YYY.YYY.YYY.YYY] ERROR: notification INVALID-ID-INFORMATION received in informational exchange.
и ip address дальней стороны - значит соединение ломается по инициативе дальней стороны с этим сообщением!
нашел RFC на ipsec сообщения об ошибках - вобщем там сказано, что такое сообщение INVALID-ID-INFORMATION следует передать встречной стороне если обнаружено не совпадение сегментов сети в политике.
у нас вариантов перейти на другой способ маршрутизации нет - условия диктует встречная сторона!
Если Вас не затруднит, попробуйте на тестовой стенде эту схему!
Спасибо!
и вторая фаза стояла в состоянии larval потом падала по таймауту!
в логах вот такая запись 2016-12-15 16:00:13: [YYY.YYY.YYY.YYY] ERROR: notification INVALID-ID-INFORMATION received in informational exchange.
и ip address дальней стороны - значит соединение ломается по инициативе дальней стороны с этим сообщением!
нашел RFC на ipsec сообщения об ошибках - вобщем там сказано, что такое сообщение INVALID-ID-INFORMATION следует передать встречной стороне если обнаружено не совпадение сегментов сети в политике.
у нас вариантов перейти на другой способ маршрутизации нет - условия диктует встречная сторона!
Если Вас не затруднит, попробуйте на тестовой стенде эту схему!
Спасибо!
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
Необходимо создать для каждой подсети свое полиси и изменить level на unique