Evgeniy80 Опубликовано 11 мая, 2018 · Жалоба Доброго времени суток. Только зарегистрировался, если что не так, скажите как надо. Вопрос: необходимо настроить IPSec туннель между микротиком и джунипером. Микротик (192.168.1.0/24 - 10.4.10.10 - 10.4.26.10 - 192.168.2.0/24) Джунипер. Две локальных сети, NAT не используется. Я так понял из прочитанного материала, что со стороны Джунипера Policy-Based VPN. Состороны Микротика логи смотрю, первая фаза проходит, вторую фазу Джунипер отбрасывает. Настройки, логи нужны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 11 мая, 2018 · Жалоба обычный IPSEX в туннельном режиме. делается примерно одинаково что на циске что на микроте что на джунипере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 12 мая, 2018 · Жалоба Зачем policy-based? Ps: делай сразу gre over ipsec, потом ospf захочешь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 14 мая, 2018 · Жалоба эээ... микротик вроде не умеет route-based ipsec, так что тут только гре/ипенкапом обмазываться и заворачивать в ипсек. неудобно, но что поделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 15 мая, 2018 · Жалоба @pfexec Настраивал обычный route-based с unnumbered tunnel interface, на лупбэках. А сверху GRE. Оптимальный вариант, если нужна динамическая маршрутизация. PS: IPSec over GRE не используется, зачем? GRE over IPSec оптимальнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 19 мая, 2018 · Жалоба В 15.05.2018 в 10:11, vvertexx сказал: Настраивал обычный route-based с unnumbered tunnel interface, на лупбэках. А сверху GRE. Оптимальный вариант, если нужна динамическая маршрутизация. с чего вдруг оптимальный, как вы вообще решили что это оптимальнее не разобравшись о чем речь вообще: В 15.05.2018 в 10:11, vvertexx сказал: IPSec over GRE не используется, зачем? GRE over IPSec оптимальнее. O_O зачем gre вообще, если ipsec сам прекрасно умеет быть туннелем и все линуксы/фряшечки это поддерживают, равно как и все приличные вендоры (juniper/paloalto/cisco/ubnt)? потому что микротик не умеет, то сразу ненужно? xD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 19 мая, 2018 · Жалоба @pfexec Тут не общий случай, а микротик. Он не умеет в туннельные интерфейсы (или я не умею его готовить, не исключено). А спор gre ovr ipsec или ipsec over gre - следствие этого. Да и в целом, меньше шифровать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 мая, 2018 · Жалоба В 19.05.2018 в 14:55, vvertexx сказал: @pfexec Тут не общий случай, а микротик. Он не умеет в туннельные интерфейсы (или я не умею его готовить, не исключено). А спор gre ovr ipsec или ipsec over gre - следствие этого. Да и в целом, меньше шифровать. Маршутизацию надо настроить правильно, при поднятии ipsec. И вот засада, длинки и тплинки это умеют сами, из коробки, просто в конфигах ipsec написать, где, кто и кого имеет в партнёрах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 23 мая, 2018 · Жалоба @YuryD К чему это? У ТСа вообще проблемы не с маршрутизацией, а вторая фаза не работает. Если бы он удосужился выложить данные логов с джуна - была бы точная ошибка [edit system syslog] # show file kmd-logs { daemon info; match KMD; } И потом > show log kmd-logs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexTN Опубликовано 26 мая, 2018 · Жалоба @Evgeniy80 Конфиг в первую очередь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...