+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

IPsec – устройства в локальной сети не могут достучаться до роутера Mikrotik, когда включена политика IPsec.

IPsec – устройства в локальной сети не могут достучаться до роутера Mikrotik, когда включена политика IPsec., RouterOS

xander

Guest

08.06.2016 15:17:00

Привет! У меня ситуация, когда Mikrotik RB2011 с подсетью LAN 172.16.14.0/24 нужно подключить по IPsec VPN к удалённой сети с подсетью 172.16.0.0/16. Без политики IPsec компьютер с адресом 172.16.14.5 может пинговать RB2011 по адресу 172.16.14.1, но как только включаешь политику IPsec между 172.16.14.0/24 и 172.16.0.0/16, пинги с 172.16.14.5 на 172.16.14.1 сразу же перестают работать. Я пытался создать правило фильтра для трафика с 172.16.14.0/24 на 172.16.14.1 с исходящим интерфейсом ether1 (lan-интерфейс), с действием accept, но это не помогло. Раньше я успешно настраивал IPsec-туннели между Mikrotik и между Mikrotik и Cisco ASA, но это первый раз, когда нужно VPN объединять два сайта с «конфликтующими» IP-подсетями. Оборудование, которое я хочу заменить на Mikrotik — устаревший Cisco ASA, — реализует перекрывающуюся маршрутизацию с помощью функции «Route of Last Resort», которой, похоже, в Mikrotik нет?

Deantwo

Guest

21.07.2016 07:37:00

Я знаю, что автор темы уже разобрался, но я просто хочу привести пример кода, чтобы люди знали, что делать в будущем. Вчера у меня была та же проблема.

/ip ipsec policy
add sa-dst-address=0.0.0.0 dst-address=172.16.14.0/24 action=none \
sa-src-address=0.0.0.0 src-address=172.16.14.0/24 tunnel=yes

Я не совсем уверен, что обязательно ставить "tunnel=yes", но в примере, который я использовал, так было, и это сработало. Мне очень интересно узнать, что вы имеете в виду. Вы хотите сказать, что можно использовать IPsec как туннель, основанный на интерфейсе? Мне нравится, что при этом не теряются IP-адреса для IPsec-туннелей, но отсутствие интерфейсной основы создает кучу других проблем и головной боли.

Если я правильно вас понял, то чтобы сделать это, нужно что-то вроде:

/interface bridge
add name=tunnel

/ip address
add address=10.255.0.<1/2>/30 interface=tunnel

/ip ipsec policy
add sa-dst-address=<remote wan> dst-address=10.255.0.0/30 action=encrypt \
sa-src-address=<local wan> src-address=10.255.0.0/30 tunnel=yes

/ip ipsec peer
add address=<remote wan>

/ip route
add dst-address=<remote lan>/24 gateway=10.255.0.<2/1>%tunnel

Но у меня почему-то так не хочет работать, значит, я что-то упускаю.

pe1chl

Guest

21.07.2016 08:22:00

Не только с этой конфигурацией, потому что она будет обрабатывать трафик только для этого /30. Но с её помощью можно добавить IP-туннель или GRE-туннель с конечными точками из этого /30 на обеих сторонах, и тогда у вас появится обычный интерфейс, который может маршрутизировать весь IP-трафик в зависимости от содержимого таблицы маршрутизации. (для этого можно использовать режим transport вместо tunnel) На самом деле, в MikroTik достаточно просто создать IP- или GRE-туннель и указать там IPsec секрет, и система автоматически создаст записи IPsec Policy и Peer для базовой конфигурации. (ESP transport, SHA1, AES-128) Обычно я использую это с автоматическим протоколом маршрутизации, например, BGP. Просто настраиваете две системы как пиры через туннель, и они сами автоматически обменяются нужными маршрутами. Но вручную добавлять маршруты тоже можно.

Deantwo Guest	#4 0 21.07.2016 08:35:00 Хорошо, ты имеешь в виду использовать туннель EOIP или что-то вроде этого? Не совсем понимаю, что ты хочешь сказать.

pe1chl Guest	#5 0 21.07.2016 12:30:00 Когда я пишу IP Tunnel или GRE Tunnel, я имею в виду именно IP Tunnel или GRE Tunnel. Честно говоря, не понимаю, почему это требует дополнительных объяснений или почему кто-то может подумать о EOIP Tunnel.

Deantwo Guest	#6 0 21.07.2016 12:52:00 Я просто мало знаю об этих двоих и, видимо, запутался. В любом случае, разберусь, спасибо.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры