Перейти к содержимому
Калькуляторы

Mikrotik IPSec + Dlink

Добрый день.

Вопрос посвящен гуру микротиков.

У меня есть в офисе Mikrotik Cloud Core Router CCR1009-8G-1S-1S+. Его мы поставим взамен Dlink который не справляется с нагрузкой.

Dlink сейчас выполняет роль сервера VPN. Канал организован по средствами IPSec. Всего сейчас подключено более 300 каналов. Каждый канал соединяет центральный офис с удаленным офисом. В центральном офисе (Там где стоит это все железо) сеть 192.168.0.0/24. В каждом удаленном офисе своя подсеть к примеру 192.168.101.2/29 и так далее. Всего получается 300 подсетей. У нас есть белый адрес в офисе и часть удаленных офисов так же имеет белые адреса, но не все.

 

Задача такая:

При помощи IPSec поднять соединения с роутеров в удаленных офисах к роутеру Mikrotik Cloud Core Router CCR1009-8G-1S-1S в нашем офисе. Важно то что бы не менять все 300 настроек на удаленных роутерах. В удаленных офисах стоят в основном Dlink dir140l.

Проще говоря необходимо в центральном офисе заменить длинк на микротик и это сделать безболезненно.

Сейчас я настроил на Mikrotik IPSec и настроил Dlink dir140l на подключение по IPSec. Длинки конечно сложно было настроить так как в интернете нет мануалов по поводу этого для настройки под микротик.

В общем соединение есть IPSec работает но беда в том что не ходят пинки из сети 192.168.0.0/24 в сеть удаленного офиса 192.168.101.224/29.

 

Ниже настройки Mikrotik которые я произвел для поднятия IPSec:

 

Сеть центральный офис:

LAN 192.168.0.0/24

Subnet Mask 255.255.255.0

WAN белый IP

 

Сеть удаленный офис:

LAN 192.168.108.224/29

Subnet Mask 255.255.255.248

WAN белый IP

 

/ip firewall filter remove [find comment=to_192.168.108.224/29]
/ip firewall filter add src-address=ОФИС_УДАЛЕННЫЙ action=accept chain=input comment=to_192.168.108.224/29
/ip firewall filter add dst-address=ОФИС_УДАЛЕННЫЙ action=accept chain=output comment=to_192.168.108.224/29
/ip firewall filter add src-address=192.168.108.224/29 action=accept chain=forward comment=to_192.168.108.224/29
/ip firewall filter add dst-address=192.168.108.224/29 action=accept chain=forward comment=to_192.168.108.224/29
/ip firewall filter move [find comment=to_192.168.108.224/29] 0

/ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.108.224/29 action=accept chain=srcnat comment=to_192.168.108.224/29
/ip firewall nat move [find comment=to_192.168.108.224/29] 0


/ip ipsec peer remove [find address=ОФИС_УДАЛЕННЫЙ/32]
/ip ipsec peer add address=ОФИС_УДАЛЕННЫЙ/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="qwerty" generate-policy=no policy-template-group=group1 exchange-mode=main send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=des dh-group=modp768 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5


/ip ipsec proposal remove [find name=ОФИС_УДАЛЕННЫЙ]
/ip ipsec proposal add  name="default" auth-algorithms=md5 enc-algorithms=des lifetime=8h pfs-group=modp768

/ip ipsec policy remove [find dst-address=192.168.108.224/29]
/ip ipsec policy add  src-address=192.168.0.0/24 src-port=any dst-address=192.168.108.224/29 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=ОФИС_ЦЕНТРАЛЬНЫЙ sa-dst-address=ОФИС_УДАЛЕННЫЙ proposal=default priority=0

 

Подскажите как заставить одну сеть видеть другую сеть? И обратно.Сейчас пинги не ходят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

микротик и ipsec

не, ну они его активно пытаются допилить, может и выйдет каменный цветок ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

300 ipsec-туннелей ? Ну-ну...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

300 ipsec-туннелей ? Ну-ну...

Сейчас на одном из DFL-860E реально работают 200 туннелей IPSec. Подтупливает но работает. Вот и приобрели Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ для увеличения тунелей и надежности.

 

Если есть у кого дельный совет, то прошу помочь!

Изменено пользователем vinitan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Либо не используйте IPSec, либо не используйте микротик, одно из двух.

 

Вот вам дельный совет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пора бы где-то уже воедино собрать "устаревшие технологии", не поддерживаемые некротиком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот и приобрели Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ для увеличения тунелей и надежности.

Вы из тех, кто лечит расстройство желудка кефиром с огурцами? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Либо не используйте IPSec, либо не используйте микротик, одно из двух.

 

 

За эти деньги купили бы SRX240 и не парились

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Либо не используйте IPSec, либо не используйте микротик, одно из двух.

 

За эти деньги купили бы SRX240 и не парились

Так он стоит около сотки а микротик этот 40 000

 

В общем я соединил длинк с микротиком этим.

В настройках vpn нужно было отключить PHASE 2. Все остальные настройки в микротике стандартные которые и рекомендуют на сайтах посвященных настройке IPSec.

В интернете очень много инфы по настройке айписека на микротике но нет инфы о настройке длинков серии dir и т.д.

post-130359-061977300 1444371339_thumb.png

Изменено пользователем vinitan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Так он стоит около сотки а микротик этот 40 000

 

Ну значит 210 в какой-нибудь из вариаций. Все лучше, чем это поделие

 

В интернете очень много инфы по настройке айписека на микротике но нет инфы о настройке длинков серии dir и т.д.

DIR уже умеют в IPSec? я думал это только DFL могут

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DIR уже умеют в IPSec? я думал это только DFL могут

 

Древние DI-80x умеют, и отлично дружат с tplinkами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

микротик и ipsec

не, ну они его активно пытаются допилить, может и выйдет каменный цветок ))

Они его "Активно" пытаются допилить уже года 4. Пока каменный цветок не очень то и выходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Древние DI-80x умеют, и отлично дружат с tplinkами.

Я подозреваю, что DI и DIR это несколько разные линейки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что, на устройствах в офисах нельзя поменять туннели на L2TP? Это сразу снимет все проблемы. IPSEC это устаревшая технология, производители всяких цисок и длинков очень любят такое, что бы привязывать на себя потребителей, они же не смогут соскочить на другое.

Самый правильный выход, заменить все устройства в офисах на микротики.

 

Просто сами подумайте - нужно ли вам шифрование данных, тут же сразу возникнет и понимание, почему существующие длинки подтупливают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что, на устройствах в офисах нельзя поменять туннели на L2TP? Это сразу снимет все проблемы. IPSEC это устаревшая технология, производители всяких цисок и длинков очень любят такое, что бы привязывать на себя потребителей, они же не смогут соскочить на другое.

Самый правильный выход, заменить все устройства в офисах на микротики.

 

Просто сами подумайте - нужно ли вам шифрование данных, тут же сразу возникнет и понимание, почему существующие длинки подтупливают.

 

Если у человека УЖЕ поднято 300 туннелей, как вы думаете, нужно оно ему или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что бы привязывать на себя потребителей, они же не смогут соскочить на другое.

А еще Juniper, CheckPoint, Palo-Alto и еще куча других вендоров, умеющих ipsec искаропки. Соскочить не получится только на микротик :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Купил передовую платформу - а работать с устаревшими технологиями собрался?

Ну как же так....

#сарказм

 

А что, на устройствах в офисах нельзя поменять туннели на L2TP? Это сразу снимет все проблемы. IPSEC это устаревшая технология, производители всяких цисок и длинков очень любят такое, что бы привязывать на себя потребителей, они же не смогут соскочить на другое.

Самый правильный выход, заменить все устройства в офисах на микротики.

 

Просто сами подумайте - нужно ли вам шифрование данных, тут же сразу возникнет и понимание, почему существующие длинки подтупливают.

Тот самый случай, когда уже ни капли не смешно.

Изменено пользователем -Pave1-

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Древние DI-80x умеют, и отлично дружат с tplinkами.

Я подозреваю, что DI и DIR это несколько разные линейки

 

Вы сами немного акцентировали на dfl онли. Я просто заметил, что и другие железки из дешевых умеют ipsec, и не только от длинк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.