Jump to content

MT настройка IPSEC

Alexey_G
 Share

Recommended Posts

Alexey_G

Alexey_G

Posted
Posted

Есть следующая схема:

192.168.17.0/24 - MT1 - VLAN провайдера - MT2 - 10.17.18.64/26

 

Настройки:

MT1:

/interface vlan
add interface=lacp name=vl-101-lacp vlan-id=101
add interface=lacp name=vl-1480-lacp vlan-id=1480

/ip address
add address=192.168.17.254/24 interface=vl-101-lacp network=192.168.17.0
add address=192.168.23.5/30 interface=vl-1480-lacp network=192.168.23.4
add address=192.168.23.9/30 interface=ipip-tun-1 network=192.168.23.8

/interface ipip
add !keepalive local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6

/routing ospf instance
set [ find default=yes ] metric-other-ospf=30 redistribute-connected=as-type-1

/routing ospf interface
add interface=ipip-tun-1 network-type=point-to-point

/routing ospf network
add area=backbone network=192.168.23.8/30

/ip ipsec peer
add address=192.168.23.10/32 secret=111

/ip ipsec policy
add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32

 

MT2:

/interface vlan
add interface=ether1 name=vl-1480-1 vlan-id=1480
add interface=ether3 name=vl-rpc3-1018 vlan-id=1018

/ip address
add address=10.17.18.126/26 interface=vl-rpc3-1018 network=10.17.18.64
add address=192.168.23.6/30 interface=vl-1480-1 network=192.168.23.4
add address=192.168.23.10/30 interface=ipip-tun-1 network=192.168.23.8

/interface ipip
add !keepalive local-address=192.168.23.6 name=ipip-tun-1 remote-address=192.168.23.5

/routing ospf instance
set [ find default=yes ] redistribute-connected=as-type-1

/routing ospf interface
add interface=ipip-tun-1 network-type=point-to-point

/routing ospf network
add area=backbone network=192.168.23.8/30

/ip ipsec peer
add address=192.168.23.9/32 secret=111

/ip ipsec policy
add dst-address=192.168.23.9/32 sa-dst-address=192.168.23.9 sa-src-address=192.168.23.10 src-address=192.168.23.10/32

 

Маршруты в удаленную сеть на MT1:

/ip route> pr
       DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
ADo     10.17.18.64/26                     192.168.23.10      110

 

Маршруты в удаленную сеть на MT2:

/ip route> pr
       DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
ADo     192.168.17.0/24                    192.168.23.9       110

 

Теперь ставлю эксперимент, на МТ1:

/ip ipsec peer
set 0 secret="1"

 

Сети 192.168.17.0/24 - 10.17.18.64/26 доступны, 192.168.23.10 - 192.168.23.9 нет.

 

Связь же должна пропасть или не прав? Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется?

Как шифровать трафик в канале провайдера?

nkusnetsov

nkusnetsov

Posted
Posted (edited)

Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется?

Хотите просто зашифровать туннель - для RouterOS выше 6.30 есть настройка IPSEC непосредственно в настройках туннеля. Просто добавьте свойство "ipsec-secret=ключ" к свойствам ipip туннеля.

Edited by nkusnetsov
Alexey_G

Alexey_G

Posted
  • Author
Posted

Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется?

Хотите просто зашифровать туннель - для RouterOS выше 6.30 есть настройка IPSEC непосредственно в настройках туннеля. Просто добавьте свойство "ipsec-secret=ключ" к свойствам ipip туннеля.

Да, хочу шифровать туннель.

 

Но при попытке создания туннеля с ipsec-secret - ошибка:

/interface ipip
add local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 ipsec-secret=123

cannot enable fastpath together with ipsec yet

 

Пробовал отключить fastpath в /ip settings - не помогло.

nkusnetsov

nkusnetsov

Posted
Posted (edited)

Alexey_G, цитата из вики:

"eoip, gre, ipip interfaces (since 6.33). Eoip, gre, ipip interfaces have per interface setting "allow-fast-path". ..."

 

То есть, вам надо явно указать для IPIP-туннеля еще один параметр параметр "allow-fast-path=no"

Например:

/interface ipip add allow-fast-path=no ipsec-secret=123 local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6

Edited by nkusnetsov
nkusnetsov

nkusnetsov

Posted
Posted (edited)

Alexey_G, вопрос по архитектуре сети - если у Вас есть VLAN от провайдера, зачем вы еще внутрь его тоннель прокидываете? Не проще ли сразу трафик между подключенными к VLAN интерфейсами шифровать, не заморачиваясь инкапсуляцией? А то ресурсы теряете, MTU понижаете, конфиг усложняете.

Edited by nkusnetsov
Alexey_G

Alexey_G

Posted
  • Author
Posted

Alexey_G, цитата из вики:

Например:

/interface ipip add allow-fast-path=no ipsec-secret=123 local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6

Спасибо, так заработало

 

Alexey_G, вопрос по архитектуре сети - если у Вас есть VLAN от провайдера, зачем вы еще внутрь его тоннель прокидываете? Не проще ли сразу трафик между подключенными к VLAN интерфейсами шифровать, не заморачиваясь инкапсуляцией? А то ресурсы теряете, MTU понижаете, конфиг усложняете.

Сетей за MT1 и MT2 много, если в туннельном режме настраивать, то правила для каждого пересечения сетей прописывать или можно одним policy обойтись?

 

Вроде такого:

/ip ipsec policy add src-address=192.168.0.0/26 dst-address=192.168.0.0/26 action=encrypt tunnel=yes sa-src-address=192.168.23.5 sa-dst-address=192.168.23.6

 

А так, конечно не хочется производительность снижать.

nkusnetsov

nkusnetsov

Posted
Posted (edited)

Alexey_G, если у вас точек подключения к VLAN больше двух, то правила всё равно придется писать отдельно, т.к. для каждого конца IPSEC-соединения нужно использовать свой "sa-dst-address", вот как у Вас "... sa-dst-address=192.168.23.6"

А если только два, MT1 и MT2, тогда можно агрегировать подсети в одно правило.

Edited by nkusnetsov
Alexey_G

Alexey_G

Posted
  • Author
Posted (edited)

Сами MT соеденены одним каналом.

При туннельном режиме придется вообще в правилах прописать 0.0.0.0/0, т.к. весь трафик с MT2 будет проходить через MT1.

Попробую в обоих режимах настроить и протестировать.

Насколько я понял, если в src-address/dst-address прописать 0.0.0.0/0, то весь трафик, подпадающий под это условие уйдет в IPSec туннель, вне зависимости от настроек маршрутизации?

Если так, то мне только транспортный режим подходит.

 

Кстати, нашел почему не работала первоначальная конфигурация:

/ip ipsec policy
add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32

 

Т.е. IPSec внутри туннеля, а надо снаружи:

/ip ipsec policy
add dst-address=192.168.23.5/32 sa-dst-address=192.168.23.5 sa-src-address=192.168.23.6 src-address=192.168.23.6/32

Edited by Alexey_G

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.