Evgeniy80 Posted May 11, 2018 Posted May 11, 2018 Доброго времени суток. Только зарегистрировался, если что не так, скажите как надо. Вопрос: необходимо настроить IPSec туннель между микротиком и джунипером. Микротик (192.168.1.0/24 - 10.4.10.10 - 10.4.26.10 - 192.168.2.0/24) Джунипер. Две локальных сети, NAT не используется. Я так понял из прочитанного материала, что со стороны Джунипера Policy-Based VPN. Состороны Микротика логи смотрю, первая фаза проходит, вторую фазу Джунипер отбрасывает. Настройки, логи нужны? Вставить ник Quote
myst Posted May 11, 2018 Posted May 11, 2018 обычный IPSEX в туннельном режиме. делается примерно одинаково что на циске что на микроте что на джунипере. Вставить ник Quote
vvertexx Posted May 12, 2018 Posted May 12, 2018 Зачем policy-based? Ps: делай сразу gre over ipsec, потом ospf захочешь Вставить ник Quote
pfexec Posted May 14, 2018 Posted May 14, 2018 эээ... микротик вроде не умеет route-based ipsec, так что тут только гре/ипенкапом обмазываться и заворачивать в ипсек. неудобно, но что поделать. Вставить ник Quote
vvertexx Posted May 15, 2018 Posted May 15, 2018 @pfexec Настраивал обычный route-based с unnumbered tunnel interface, на лупбэках. А сверху GRE. Оптимальный вариант, если нужна динамическая маршрутизация. PS: IPSec over GRE не используется, зачем? GRE over IPSec оптимальнее. Вставить ник Quote
pfexec Posted May 19, 2018 Posted May 19, 2018 В 15.05.2018 в 10:11, vvertexx сказал: Настраивал обычный route-based с unnumbered tunnel interface, на лупбэках. А сверху GRE. Оптимальный вариант, если нужна динамическая маршрутизация. с чего вдруг оптимальный, как вы вообще решили что это оптимальнее не разобравшись о чем речь вообще: В 15.05.2018 в 10:11, vvertexx сказал: IPSec over GRE не используется, зачем? GRE over IPSec оптимальнее. O_O зачем gre вообще, если ipsec сам прекрасно умеет быть туннелем и все линуксы/фряшечки это поддерживают, равно как и все приличные вендоры (juniper/paloalto/cisco/ubnt)? потому что микротик не умеет, то сразу ненужно? xD Вставить ник Quote
vvertexx Posted May 19, 2018 Posted May 19, 2018 @pfexec Тут не общий случай, а микротик. Он не умеет в туннельные интерфейсы (или я не умею его готовить, не исключено). А спор gre ovr ipsec или ipsec over gre - следствие этого. Да и в целом, меньше шифровать. Вставить ник Quote
YuryD Posted May 22, 2018 Posted May 22, 2018 В 19.05.2018 в 14:55, vvertexx сказал: @pfexec Тут не общий случай, а микротик. Он не умеет в туннельные интерфейсы (или я не умею его готовить, не исключено). А спор gre ovr ipsec или ipsec over gre - следствие этого. Да и в целом, меньше шифровать. Маршутизацию надо настроить правильно, при поднятии ipsec. И вот засада, длинки и тплинки это умеют сами, из коробки, просто в конфигах ipsec написать, где, кто и кого имеет в партнёрах. Вставить ник Quote
vvertexx Posted May 23, 2018 Posted May 23, 2018 @YuryD К чему это? У ТСа вообще проблемы не с маршрутизацией, а вторая фаза не работает. Если бы он удосужился выложить данные логов с джуна - была бы точная ошибка [edit system syslog] # show file kmd-logs { daemon info; match KMD; } И потом > show log kmd-logs Вставить ник Quote
AlexTN Posted May 26, 2018 Posted May 26, 2018 @Evgeniy80 Конфиг в первую очередь. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.