Перейти к содержимому
Калькуляторы

IPSec между SRX210 and Mikrotik RB750Gr3

Доброго времени суток. Только зарегистрировался, если что не так, скажите как надо. Вопрос: необходимо настроить IPSec туннель между микротиком и джунипером. Микротик (192.168.1.0/24 - 10.4.10.10 - 10.4.26.10 - 192.168.2.0/24) Джунипер. Две локальных сети, NAT не используется. Я так понял из прочитанного материала, что со стороны Джунипера Policy-Based VPN. Состороны Микротика логи смотрю, первая фаза проходит, вторую фазу Джунипер отбрасывает. Настройки, логи нужны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

обычный IPSEX в туннельном режиме. делается примерно одинаково что на циске что на микроте что на джунипере.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем policy-based? 

Ps: делай сразу gre over ipsec, потом ospf захочешь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

эээ... микротик вроде не умеет route-based ipsec, так что тут только гре/ипенкапом обмазываться и заворачивать в ипсек. неудобно, но что поделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@pfexec 

Настраивал обычный route-based с unnumbered tunnel interface, на лупбэках. А сверху GRE. Оптимальный вариант, если нужна динамическая маршрутизация.

PS: IPSec over GRE не используется, зачем? GRE over IPSec оптимальнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

В 15.05.2018 в 10:11, vvertexx сказал:

Настраивал обычный route-based с unnumbered tunnel interface, на лупбэках. А сверху GRE. Оптимальный вариант, если нужна динамическая маршрутизация.

с чего вдруг оптимальный, как вы вообще решили что это оптимальнее не разобравшись о чем речь вообще:

В 15.05.2018 в 10:11, vvertexx сказал:

IPSec over GRE не используется, зачем? GRE over IPSec оптимальнее.

O_O

зачем gre вообще, если ipsec сам прекрасно умеет быть туннелем и все линуксы/фряшечки это поддерживают, равно как и все приличные вендоры (juniper/paloalto/cisco/ubnt)? потому что микротик не умеет, то сразу ненужно? xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@pfexec 

Тут не общий случай, а микротик. Он не умеет в туннельные интерфейсы (или я не умею его готовить, не исключено).

А спор gre ovr ipsec или ipsec over gre - следствие этого. Да и в целом, меньше шифровать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 19.05.2018 в 14:55, vvertexx сказал:

@pfexec 

Тут не общий случай, а микротик. Он не умеет в туннельные интерфейсы (или я не умею его готовить, не исключено).

А спор gre ovr ipsec или ipsec over gre - следствие этого. Да и в целом, меньше шифровать.

 Маршутизацию надо настроить правильно, при поднятии ipsec. И вот засада, длинки и тплинки это умеют сами, из коробки, просто в конфигах ipsec написать, где, кто и кого имеет в партнёрах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@YuryD 

К чему это? У ТСа вообще проблемы не с маршрутизацией, а вторая фаза не работает. Если бы он удосужился выложить данные логов с джуна - была бы точная ошибка

[edit system syslog]

# show

file kmd-logs {
    daemon info;
    match KMD;
}

И потом > show log kmd-logs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Evgeniy80 

 

Конфиг в первую очередь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.