IPsec с CISCO (multiple split networks)
Добавлено: 02 фев 2018, 13:27
Добрый день!
Есть десяток туннелей с наших маршрутизаторов (mikrotik RB1200)
встречные как правило CISCO ASA
и всегда необходим доступ из нашей сети /24 или /32 к нескольким ресурсам в сети встречной стороны
как правило они делают ACL на своей стороне в который пермитят несколько узлов - и используют этот ACL для конфигурации политики
routerOS ранее не имела возможности анонсировать в политике несколько узлов/сетей (по словам тех. специалистов в России сертифицированных микротик), да и мы испробовали все доступные нам варианты прежде, чем обращаться к ним.
что бы выйти из положения мы просили встречную сторону использовать ACL в политике в котором всего одна сеть охватывающая все узлы к которым необходим доступ, что бы сегменты совпадали в политиках с двух сторон - иначе вторая фаза не встает. И они вынуждены делать дополнительный ACL на output что бы ограничить наш доступ к остальным ресурсам сети.
это не всегда удобно. И сейчас есть не поднятый туннель т.к. встречная сторона не может реализовать аналогичную схему т.к. при такой настройке у них ломается NAT
Но недавно была зарелизина версия 6.41
и в ченжлоге есть такая запись:
What's new in 6.41 (2017-Dec-22 11:55):
.....
*) ike2 - added support for multiple split networks;
я обновился - и начал пробовать настроить политику с несколькими сетями/узлами
но ни каких изменений в интерфейсе (webfig, console) предполагающих добавить такую политики не обнаружил.
Кто знает, как правильно это делается?
Или эта запись в ченжлоге не о моем случае?
Есть десяток туннелей с наших маршрутизаторов (mikrotik RB1200)
встречные как правило CISCO ASA
и всегда необходим доступ из нашей сети /24 или /32 к нескольким ресурсам в сети встречной стороны
как правило они делают ACL на своей стороне в который пермитят несколько узлов - и используют этот ACL для конфигурации политики
routerOS ранее не имела возможности анонсировать в политике несколько узлов/сетей (по словам тех. специалистов в России сертифицированных микротик), да и мы испробовали все доступные нам варианты прежде, чем обращаться к ним.
что бы выйти из положения мы просили встречную сторону использовать ACL в политике в котором всего одна сеть охватывающая все узлы к которым необходим доступ, что бы сегменты совпадали в политиках с двух сторон - иначе вторая фаза не встает. И они вынуждены делать дополнительный ACL на output что бы ограничить наш доступ к остальным ресурсам сети.
это не всегда удобно. И сейчас есть не поднятый туннель т.к. встречная сторона не может реализовать аналогичную схему т.к. при такой настройке у них ломается NAT
Но недавно была зарелизина версия 6.41
и в ченжлоге есть такая запись:
What's new in 6.41 (2017-Dec-22 11:55):
.....
*) ike2 - added support for multiple split networks;
я обновился - и начал пробовать настроить политику с несколькими сетями/узлами
но ни каких изменений в интерфейсе (webfig, console) предполагающих добавить такую политики не обнаружил.
Кто знает, как правильно это делается?
Или эта запись в ченжлоге не о моем случае?