Страница 1 из 2
IPsec между статическим и динамическим IP
Добавлено: 13 ноя 2014, 14:09
Valera
Здравствуйте. Проблема заключается в следующем настроили Ipsec на белых IP все работает отлично. Задача состоит в том что один ip серый (т.е. получается по DHCP). На просторах интернета нашел инструкцию по настройке но по ней не работает. Не совсем ясно как на стороне белого ip автоматически создается политика (свойство "GEnerate policy"), вопрос номер два - необходимо ли использовать для этой настройки какие -либо скрипты (очень часто пишут об этом в интернетах)или можно обойтись без них.
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 07:52
pubuser
Вообще ip sec можно настроить и в существующем VPN туннеле со статическими адресами.
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 09:09
Valera
чудесно ты читал че я выше написал?! Нужно настроить с одним серым с одним белым, мне не надо с двумя статическими если знаешь как такую схему настроить жду пояснений
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 09:10
Vladimir22
а что !? на том который белый и статичный поднимается PPTP сервер .....
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 09:23
pubuser
Ну вот Владимир в верном направлении мыслит. Сперва с динамики подымаем туннель PPTP в направлении статики, а уж потом на установившемся туннеле подымаем ipSec. Можно еще и шифрование врубить на PPTP если паранойя мучает.
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 09:29
Vladimir22
у меня домашняя сеть построена на PPTP.
аха , потом шифрование в ипсеке
и завалим проц. . да и если уже есть туннель ... зачем еще что то туннелировать ?! не проще маршрутизацию написать ?!
а паранойя всех мучает ....
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 09:32
vqd
Vladimir22 писал(а):у меня домашняя сеть построена на PPTP.
аха , потом шифрование в ипсеке
и завалим проц. . да и если уже есть туннель ... зачем еще что то туннелировать ?! не проще маршрутизацию написать ?!
а паранойя всех мучает ....
Параноики они такие, а есть еще и скандальные параноики ))) Я уже внимания не обращаю
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 09:40
Vladimir22
поверьте , если вас захотят взять за мягкое место , то вас возьмут.
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 10:57
Valera
кароч осталось только узнать как в "Peer" на стороне белого IP поставить серый IP и все заработает. кто может че по теме сказать буду благодарен
Re: IPsec между статическим и динамическим IP
Добавлено: 14 ноя 2014, 11:12
lsjoin
Добрый день.
Пытаюсь подружить микротик 2011UiAS-2HnD и D-Link DFL 860E через динамический ipsec туннель. Но что-то не получается.
D-Link Настраиваю по инструкции
http://www.dlink.ru/ru/faq/92/927.html Микротик по
WiKi
Код: Выделить всё
Name: dynamic_ipsec
Local IP: 192.168.3.1
Broadcast: 0.0.0.0
Local Network: 192.168.3.0/24
Remote Network: 172.16.1.0/24
Remote Gateway: 0.0.0.0/0
IKE Mode: Main
D-H modp group: 2
NAT Traversal: Enabled if needed and supported by the remote peer
SA per: Net
PFS: Enabled (keys), D-H modp group 2
Config Mode: Disabled
DHCP over IPsec: Disabled
Add Route: Enabled
XAUTH Client: Disabled
XAUTH: Disabled
Keep-alive: Disabled
Authentication: PSK: dynamic_ipsec_key
IKE Algoritms: 3DES,SHA1
IPsec Algorithms: 3DES,SHA1
MTU: 1420
Код: Выделить всё
IPSEC
Policies:
src-address=172.16.1.0/24 src-port=any dst-address=192.168.3.0/24 dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=9X.X.X.X sa-dst-address=7X.X.X.X proposal=dyamic_ipsec
priority=0
Peers:
address=7X.X.X.X/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="1234567890"
generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no
proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m
dpd-maximum-failures=5
Remote-Peers:
local-address=9X.X.X.X remote-address=7X.X.X.X state=established side=initiator established=21m15s
Proposal:
name="dyamic_ipsec" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024
NAT
chain=srcnat action=masquerade src-address=172.16.1.0/24 dst-address=192.168.3.0/24 out-interface=pptp1 log=no log-prefix=""
Лог с D-Link'a
Код: Выделить всё
2014-11-14 11:29:37 Info IPSEC 1802703
ike_sa_negotiation_completed
ike_sa_completed
local_peer="7X.X.X.X ID 7X.X.X.X" remote_peer="9X.X.X.X ID 9X.X.X.X" initiator_spi="a28db420 566d6127" responder_spi="1b2b6cc6 4f80a65f" int_severity=6
2014-11-14 11:29:37 Info IPSEC 1802024
ike_sa_negotiation_completed
options=Responder mode="Main Mode" auth="Pre-shared keys" encryption=3des-cbc keysize= hash=sha1 dhgroup=2 bits=1024 lifetime=28800
Как видно из лога d-link'a, они чем то обмениваются и на этом все кончается, соединения между сетями не происходит. Сообщений о ошибках в логах нет ни на одной стороне. Прошу Вас помочь разобратся что я делаю не правильно. Спасибо.