IPSec между Mikrotik и Cisco VTI
Добавлено: 10 апр 2019, 14:26
Всем, привет!
Купили на тест в контору несколько HEXs.
Упражняюсь в настройке IPSec между Mikrotik и Cisco.
Циска стоит в центре, с удалённых позиций через инет на неё сходятся IPSec-туннели с других маршрутизаторов за которыми есть некоторое количество хостов.
На циске используются VTI для возможности организации динамической маршрутизации(OSPF), да и гораздо удобнее так, не нужно выделять интересный трафик, создавать криптомапы и т.п.
проблема заключается в следующем: IPsec между указанными железками не работает в ТУННЕЛЬНОМ режиме.
В транспортном всё ок, поднимается тут же, с различными настройками шифрования, хэшами и т.п.
Пробовал различные типы туннелей: GRE и IPIP, на микроте пробовал и дефолтные profile, prospal, policy, создаваемые автоматически, пробовал создавать их руками, итог один: работает только в транспортном режиме.
Кто-нибудь сталкивался с подобными проблемами?
Ну и вдогонку вопросик: разница между туннельным и транспортными режимом?
Прошу в гугл не отправлять, понятно, что в первом случае к оригинальному пакету добавляется ещё один IP-заголовок, а во втором используется оригинальный, но тут у меня и возникла проблема в понимании этого.
Допустим, есть два маршрутизатора Р1 и Р2 с интерфейсами с белыми адресами ИПб1 и ИПб2. Между маршрутизаторами построен туннель с концами на этих белых ИП.
На туннельных интерфейсах с каждой стороны назначены серые адреса ИПс1 и ИПс2 соответственно. Маршрутизация между хостами за маршрутизаторами направлена в туннель.
Скажем, за маршрутизатором Р2 есть хост с адресом ИПс222, за Р1 - ИПс111. допустим хост ИПс222 захотел отправить пакет на адрес ИПс111.
в оригинальном заголовке этого пакета будет источник ИПс222, назначение - ИПс111.
Прилетел этот пакет на роутер, он знает, что до хоста назначения можно добраться через туннель. что происходит дальше?
если говорить о транспортном режиме, то должна зашифроваться только полезная нагрузка, заголовок остаётся исходным, но ведь исходные серые адреса не пролезут через инет.
Или транспортный режим вообще не подразумевает маршрутизации через туннель? то есть если бы маршрут до хоста ИПс111 я бы отправил не на ИПс1, а на ИПб1, полезная нагрузка бы зашифровалась, а заголовок остался бы с серыми адресами и пакет бы помер на шлюзе у провайдера?
Выходит, если у меня весь серый трафик отправлен в туннель, то всё равно оригинальный заголовок помещается под новый заголовок с белыми адресами концов туннеля? ну и в чём тогда разница туннельного режима и транспортного?
Купили на тест в контору несколько HEXs.
Упражняюсь в настройке IPSec между Mikrotik и Cisco.
Циска стоит в центре, с удалённых позиций через инет на неё сходятся IPSec-туннели с других маршрутизаторов за которыми есть некоторое количество хостов.
На циске используются VTI для возможности организации динамической маршрутизации(OSPF), да и гораздо удобнее так, не нужно выделять интересный трафик, создавать криптомапы и т.п.
проблема заключается в следующем: IPsec между указанными железками не работает в ТУННЕЛЬНОМ режиме.
В транспортном всё ок, поднимается тут же, с различными настройками шифрования, хэшами и т.п.
Пробовал различные типы туннелей: GRE и IPIP, на микроте пробовал и дефолтные profile, prospal, policy, создаваемые автоматически, пробовал создавать их руками, итог один: работает только в транспортном режиме.
Кто-нибудь сталкивался с подобными проблемами?
Ну и вдогонку вопросик: разница между туннельным и транспортными режимом?
Прошу в гугл не отправлять, понятно, что в первом случае к оригинальному пакету добавляется ещё один IP-заголовок, а во втором используется оригинальный, но тут у меня и возникла проблема в понимании этого.
Допустим, есть два маршрутизатора Р1 и Р2 с интерфейсами с белыми адресами ИПб1 и ИПб2. Между маршрутизаторами построен туннель с концами на этих белых ИП.
На туннельных интерфейсах с каждой стороны назначены серые адреса ИПс1 и ИПс2 соответственно. Маршрутизация между хостами за маршрутизаторами направлена в туннель.
Скажем, за маршрутизатором Р2 есть хост с адресом ИПс222, за Р1 - ИПс111. допустим хост ИПс222 захотел отправить пакет на адрес ИПс111.
в оригинальном заголовке этого пакета будет источник ИПс222, назначение - ИПс111.
Прилетел этот пакет на роутер, он знает, что до хоста назначения можно добраться через туннель. что происходит дальше?
если говорить о транспортном режиме, то должна зашифроваться только полезная нагрузка, заголовок остаётся исходным, но ведь исходные серые адреса не пролезут через инет.
Или транспортный режим вообще не подразумевает маршрутизации через туннель? то есть если бы маршрут до хоста ИПс111 я бы отправил не на ИПс1, а на ИПб1, полезная нагрузка бы зашифровалась, а заголовок остался бы с серыми адресами и пакет бы помер на шлюзе у провайдера?
Выходит, если у меня весь серый трафик отправлен в туннель, то всё равно оригинальный заголовок помещается под новый заголовок с белыми адресами концов туннеля? ну и в чём тогда разница туннельного режима и транспортного?