Mikrotik, интерфейс для IPSec

[GhOsT_MZ]

Добрый день!

Есть желание объединить несколько офисов с помощью IPSec. Столкнулся с проблемой - не могу "заставить" микротик терминировать содержимое туннеля на определенном интерфейсе (без интерфейса само собой IPSec не заведется). Неужели без GRE не обойтись даже в туннельном режиме?

[Night_Snake]

Вы бы схему включения дали для начала. Конфиги... а то непонятно совершенно.

Микрот не умеет в route-based IPSec (или VTI), только policy-based, только хардкор.

 

При этом интерефейс будет определяться настройками ipsec peer и ipsec policy.

[GhOsT_MZ]

Да конфигов пока нету. А вот схема пока простая: есть микротик, есть Juniper SRX240, нужно организовать между ними site-to-site vpn, внутри которого должен OSPF бегать. Чтобы заставить бегать OSPF, нам нужен интерфейс на котором он будет работать... Получается, единственная рабочая схема - GRE over IPSec?

[Night_Snake]

Про site-to-site: http://nixman.info/?p=2604

Насчет OSPF: да, GRE over IPSec, по-другому никак

[GhOsT_MZ]

Спасибо! А статью находил, но что-то оно не завелось. В общем, буду пытаться это как-то завести :) Спасибо

[Night_Snake]

Если не завелось - пишите прямо там в комментариях, я постараюсь проверить у себя и ответить оперативно.

[Sonne]

В 08.02.2016 в 08:20, Night_Snake сказал:

Вы бы схему включения дали для начала. Конфиги... а то непонятно совершенно.

Микрот не умеет в route-based IPSec (или VTI), только policy-based, только хардкор.

 

При этом интерефейс будет определяться настройками ipsec peer и ipsec policy.

 

Интересно, что то изменилось вот в этом плане ?

>Микрот не умеет в route-based IPSec (или VTI) 

[vvertexx]

Sonne 

нет. Так же пользуем gre over ipsec в связке juniper&mikrotik, ospf поверх. Без NAT'а только, у нас телефония.

[Sonne]

Никто не пробовал для этой задачи UBNT Ege Router ?

Вот есть дока: https://help.ubnt.com/hc/en-us/articles/115011377588-EdgeRouter-IPsec-Route-Based-VTI-Site-to-Site-VPN