Jump to content
Калькуляторы

маршрутизация ipsec

Кто хорошо понимает как оно работает, проясните пожалуйста

Пакет пройдет через IP-SEC туннель, если марштутизаторы на конце туннеля не имеют дефолтного маршрута ?

Пакет пришел из одной серой сети (например 10.10.10.0/24) в другую (например 10.10.10.1/24) между марштутизаторами не интернет а своя серая маршрутизируемая  сеть ( пусть например адреса маршрутизаторов 192.168.1.1/24 и 192.168.2.1.24), между этими сетями жесткий firewall и настроенная только на нужное таблица маршрутизации). Пакет из сетей 10.10. никогда не попадет и не знает маршрута до сети 192.168 и наоборот.

Однако на том уровне модели OSI, на котором работает IPSEC - пакеты инкапсулируются в туннель и уже адрес другого конца туннеля  отправляющему маршрутизатору уже известен.

Поскольку полиси IPSEC проверяются после Routing Decision и после firewall chain forward, значит ли это что в моей схеме до IPSECа дела даже не дойдтет, а вернет в лучшем случае no route to the host ?

 

Если это так, то дайте совет как это красиво обойти. Прописать "левые" маршруты прошу не предлагать.

Share this post


Link to post
Share on other sites

3 часа назад, grifin.ru сказал:

Поскольку полиси IPSEC проверяются после Routing Decision и после firewall chain forward, значит ли это что в моей схеме до IPSECа дела даже не дойдтет, а вернет в лучшем случае no route to the host ?

Про какое устройство идёт речь?

Share this post


Link to post
Share on other sites

5 hours ago, grifin.ru said:

Кто хорошо понимает как оно работает, проясните пожалуйста

Пакет пройдет через IP-SEC туннель, если марштутизаторы на конце туннеля не имеют дефолтного маршрута ?

Пакет пришел из одной серой сети (например 10.10.10.0/24) в другую (например 10.10.10.1/24) между марштутизаторами не интернет а своя серая маршрутизируемая  сеть ( пусть например адреса маршрутизаторов 192.168.1.1/24 и 192.168.2.1.24), между этими сетями жесткий firewall и настроенная только на нужное таблица маршрутизации). Пакет из сетей 10.10. никогда не попадет и не знает маршрута до сети 192.168 и наоборот.

Однако на том уровне модели OSI, на котором работает IPSEC - пакеты инкапсулируются в туннель и уже адрес другого конца туннеля  отправляющему маршрутизатору уже известен.

Поскольку полиси IPSEC проверяются после Routing Decision и после firewall chain forward, значит ли это что в моей схеме до IPSECа дела даже не дойдтет, а вернет в лучшем случае no route to the host ?

 

Если это так, то дайте совет как это красиво обойти. Прописать "левые" маршруты прошу не предлагать.

1. Пакеты ни о каких маршрута не "знают". Маршруты знают маршрутизаторы и конечные устройства.

2. Голый IPSec работает по такому принципу - изначальный пакет, следующий по маршруту, перехватывается на исходящем интерфейсе, согласно таблицы маршрутизации. Затем шифруется согласно политике и отаправляется в зашифрованом виде на удаленный хост, настроеный в политике. Там расшифровывается и входит в общий процесс маршрутизации.

 

Share this post


Link to post
Share on other sites

Для Микротика, судя по IPsec Encryption/Decryption, так и есть. Так что пакет из сети 10.10.10.0/24 должен знать как попасть в 10.10.10.1/24 и без IPSEC. Осталось решить, как это сделать без "левых" маршрутов. Интересно, подойдет ли маршрут с type blackhole?

  У циски может быть своя магия. Так что

Edited by kuterye

Share this post


Link to post
Share on other sites

45 minutes ago, kuterye said:

Для Микротика, судя по IPsec Encryption/Decryption, так и есть. Так что пакет из сети 10.10.10.0/24 должен знать как попасть в 10.10.10.1/24 и без IPSEC. Осталось решить, как это сделать без "левых" маршрутов. Интересно, подойдет ли маршрут с type blackhole?

  У циски может быть своя магия. Так что

У циски точно также.

Поэтому в голом виде ипсек на роутерах используют только вынуждено, когда надо подружиться с чужим оборудованием, которое не циско-роутер.

На роутерах делают тунельные интерфейсы, через которые уже все работает по человечески, включая все протоколы маршрутизации.

Share this post


Link to post
Share on other sites

13 часов назад, ShyLion сказал:

следующий по маршруту, перехватывается на исходящем интерфейсе, согласно таблицы маршрутизации.

Вот об этом и речь. В таблице маршрутизации нет маршрута, поэтому пакет, как я понимаю, до исходящего интерфейса просто не дойдет.

 

12 часов назад, ShyLion сказал:

На роутерах делают тунельные интерфейсы, через которые уже все работает по человечески, включая все протоколы маршрутизации.

На IPSEC тоже есть тунель-моде. Собственно про него и речь.

Share this post


Link to post
Share on other sites

39 минут назад, grifin.ru сказал:

На IPSEC тоже есть тунель-моде. Собственно про него и речь.

между tunnel mode и transport mode разница в инкапсуляции.

Share this post


Link to post
Share on other sites

23 минуты назад, kapydan сказал:

между tunnel mode и transport mode разница в инкапсуляции.

Что никак не противоречит сказанному выше и не дает ответа на вопрос "как красиво обойти". 

Share this post


Link to post
Share on other sites

15 часов назад, ShyLion сказал:

На роутерах делают тунельные интерфейсы, через которые уже все работает по человечески, включая все протоколы маршрутизации.

В этом случае мы в модель угроз добавляем опасность наличия уязвимости в транспортном протоколе. Тогда вообще нахрена IPSEC, проще OVPN использовать.

Share this post


Link to post
Share on other sites

6 hours ago, grifin.ru said:

В этом случае мы в модель угроз добавляем опасность наличия уязвимости в транспортном протоколе. Тогда вообще нахрена IPSEC, проще OVPN использовать.

Чаво? Каких угроз? Каких уязвимостей? Заворачивается GRE в IPSec и все. Какие "угрозы" тут добавляются?

 

 

Share this post


Link to post
Share on other sites

7 hours ago, grifin.ru said:

вообще нахрена IPSEC, проще OVPN использовать.

Так это не на каждой платформе есть, а где есть, там оно не всегда быстро работает. На том же тике, со слов местных гуру, OVPN одно ядро только использует. Для одного подключения может и сойдет.

 

 

8 hours ago, grifin.ru said:

Что никак не противоречит сказанному выше и не дает ответа на вопрос "как красиво обойти". 

Что мешает на своем роутере прописать маршрут в нужную сторону?

Share this post


Link to post
Share on other sites

ну если делать ipsec и gre, то проще всего, и правильнее, будет настроить фазу 1 и 2 и применить их на gre. либо настроить крипто-карту, если нет необходимости/желания, ширфовать весь трафик в туннель.

 

а прописать маршрут можно статикой. если брать циску - то у такого маршрута можно еще и дистанцию изменить.

Share this post


Link to post
Share on other sites

В 22.05.2019 в 20:09, grifin.ru сказал:

Вот об этом и речь. В таблице маршрутизации нет маршрута, поэтому пакет, как я понимаю, до исходящего интерфейса просто не дойдет.

Если на вашей стороне А, нет информации в таблице маршрутизации о сети которая расположена за/на_маршрутизаторе Б, и нет дефолтного маршрутизатора, то пакет уйдет в славный dev/NULL , и в зависимости от политики маршрутизатора и вида пакета маршрутизатор или просто промолчит или в ответ выкинет что маршрут не доступен...

 

Если на вашей стороне А есть в таблице маршрутизации информация про то что нужная сеточка находится в "Конце туннеля" который установлен между А и Б, а маршрутизатор Б не знает про это, тогда пакет дойдет до маршрутизатора Б(будет зашифрован, обработан со всеми почестями)  он или пойдет в ДефолтРоут маршрутизатора Б, или если его нет- то пакет уйдет в славный dev/NULL , и в зависимости от политики маршрутизатора и вида пакета маршрутизатор или просто промолчит или в ответ выкинет что маршрут не доступен...

Обойти? Практически не как, Люди старались что бы мусор гнобить и убивать... Старались делать динамические протоколы маршрутизации, делали возможность фильтрации маршрутизации, А вы просто так взять и обойти... 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.