grifin.ru Posted May 21, 2019 · Report post Кто хорошо понимает как оно работает, проясните пожалуйста Пакет пройдет через IP-SEC туннель, если марштутизаторы на конце туннеля не имеют дефолтного маршрута ? Пакет пришел из одной серой сети (например 10.10.10.0/24) в другую (например 10.10.10.1/24) между марштутизаторами не интернет а своя серая маршрутизируемая сеть ( пусть например адреса маршрутизаторов 192.168.1.1/24 и 192.168.2.1.24), между этими сетями жесткий firewall и настроенная только на нужное таблица маршрутизации). Пакет из сетей 10.10. никогда не попадет и не знает маршрута до сети 192.168 и наоборот. Однако на том уровне модели OSI, на котором работает IPSEC - пакеты инкапсулируются в туннель и уже адрес другого конца туннеля отправляющему маршрутизатору уже известен. Поскольку полиси IPSEC проверяются после Routing Decision и после firewall chain forward, значит ли это что в моей схеме до IPSECа дела даже не дойдтет, а вернет в лучшем случае no route to the host ? Если это так, то дайте совет как это красиво обойти. Прописать "левые" маршруты прошу не предлагать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
azhur Posted May 22, 2019 · Report post 3 часа назад, grifin.ru сказал: Поскольку полиси IPSEC проверяются после Routing Decision и после firewall chain forward, значит ли это что в моей схеме до IPSECа дела даже не дойдтет, а вернет в лучшем случае no route to the host ? Про какое устройство идёт речь? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 22, 2019 · Report post Про микротик пока и про циску потом. Не думаю что базовая логика там как-то различается ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 22, 2019 · Report post 5 hours ago, grifin.ru said: Кто хорошо понимает как оно работает, проясните пожалуйста Пакет пройдет через IP-SEC туннель, если марштутизаторы на конце туннеля не имеют дефолтного маршрута ? Пакет пришел из одной серой сети (например 10.10.10.0/24) в другую (например 10.10.10.1/24) между марштутизаторами не интернет а своя серая маршрутизируемая сеть ( пусть например адреса маршрутизаторов 192.168.1.1/24 и 192.168.2.1.24), между этими сетями жесткий firewall и настроенная только на нужное таблица маршрутизации). Пакет из сетей 10.10. никогда не попадет и не знает маршрута до сети 192.168 и наоборот. Однако на том уровне модели OSI, на котором работает IPSEC - пакеты инкапсулируются в туннель и уже адрес другого конца туннеля отправляющему маршрутизатору уже известен. Поскольку полиси IPSEC проверяются после Routing Decision и после firewall chain forward, значит ли это что в моей схеме до IPSECа дела даже не дойдтет, а вернет в лучшем случае no route to the host ? Если это так, то дайте совет как это красиво обойти. Прописать "левые" маршруты прошу не предлагать. 1. Пакеты ни о каких маршрута не "знают". Маршруты знают маршрутизаторы и конечные устройства. 2. Голый IPSec работает по такому принципу - изначальный пакет, следующий по маршруту, перехватывается на исходящем интерфейсе, согласно таблицы маршрутизации. Затем шифруется согласно политике и отаправляется в зашифрованом виде на удаленный хост, настроеный в политике. Там расшифровывается и входит в общий процесс маршрутизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kuterye Posted May 22, 2019 (edited) · Report post Для Микротика, судя по IPsec Encryption/Decryption, так и есть. Так что пакет из сети 10.10.10.0/24 должен знать как попасть в 10.10.10.1/24 и без IPSEC. Осталось решить, как это сделать без "левых" маршрутов. Интересно, подойдет ли маршрут с type blackhole? У циски может быть своя магия. Так что Edited May 22, 2019 by kuterye Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 22, 2019 · Report post 45 minutes ago, kuterye said: Для Микротика, судя по IPsec Encryption/Decryption, так и есть. Так что пакет из сети 10.10.10.0/24 должен знать как попасть в 10.10.10.1/24 и без IPSEC. Осталось решить, как это сделать без "левых" маршрутов. Интересно, подойдет ли маршрут с type blackhole? У циски может быть своя магия. Так что У циски точно также. Поэтому в голом виде ипсек на роутерах используют только вынуждено, когда надо подружиться с чужим оборудованием, которое не циско-роутер. На роутерах делают тунельные интерфейсы, через которые уже все работает по человечески, включая все протоколы маршрутизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 22, 2019 · Report post 13 часов назад, ShyLion сказал: следующий по маршруту, перехватывается на исходящем интерфейсе, согласно таблицы маршрутизации. Вот об этом и речь. В таблице маршрутизации нет маршрута, поэтому пакет, как я понимаю, до исходящего интерфейса просто не дойдет. 12 часов назад, ShyLion сказал: На роутерах делают тунельные интерфейсы, через которые уже все работает по человечески, включая все протоколы маршрутизации. На IPSEC тоже есть тунель-моде. Собственно про него и речь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted May 22, 2019 · Report post 39 минут назад, grifin.ru сказал: На IPSEC тоже есть тунель-моде. Собственно про него и речь. между tunnel mode и transport mode разница в инкапсуляции. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 22, 2019 · Report post 23 минуты назад, kapydan сказал: между tunnel mode и transport mode разница в инкапсуляции. Что никак не противоречит сказанному выше и не дает ответа на вопрос "как красиво обойти". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 22, 2019 · Report post 15 часов назад, ShyLion сказал: На роутерах делают тунельные интерфейсы, через которые уже все работает по человечески, включая все протоколы маршрутизации. В этом случае мы в модель угроз добавляем опасность наличия уязвимости в транспортном протоколе. Тогда вообще нахрена IPSEC, проще OVPN использовать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 23, 2019 · Report post 6 hours ago, grifin.ru said: В этом случае мы в модель угроз добавляем опасность наличия уязвимости в транспортном протоколе. Тогда вообще нахрена IPSEC, проще OVPN использовать. Чаво? Каких угроз? Каких уязвимостей? Заворачивается GRE в IPSec и все. Какие "угрозы" тут добавляются? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 23, 2019 · Report post 7 hours ago, grifin.ru said: вообще нахрена IPSEC, проще OVPN использовать. Так это не на каждой платформе есть, а где есть, там оно не всегда быстро работает. На том же тике, со слов местных гуру, OVPN одно ядро только использует. Для одного подключения может и сойдет. 8 hours ago, grifin.ru said: Что никак не противоречит сказанному выше и не дает ответа на вопрос "как красиво обойти". Что мешает на своем роутере прописать маршрут в нужную сторону? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted May 23, 2019 · Report post ну если делать ipsec и gre, то проще всего, и правильнее, будет настроить фазу 1 и 2 и применить их на gre. либо настроить крипто-карту, если нет необходимости/желания, ширфовать весь трафик в туннель. а прописать маршрут можно статикой. если брать циску - то у такого маршрута можно еще и дистанцию изменить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zoro Posted May 25, 2019 · Report post В 22.05.2019 в 20:09, grifin.ru сказал: Вот об этом и речь. В таблице маршрутизации нет маршрута, поэтому пакет, как я понимаю, до исходящего интерфейса просто не дойдет. Если на вашей стороне А, нет информации в таблице маршрутизации о сети которая расположена за/на_маршрутизаторе Б, и нет дефолтного маршрутизатора, то пакет уйдет в славный dev/NULL , и в зависимости от политики маршрутизатора и вида пакета маршрутизатор или просто промолчит или в ответ выкинет что маршрут не доступен... Если на вашей стороне А есть в таблице маршрутизации информация про то что нужная сеточка находится в "Конце туннеля" который установлен между А и Б, а маршрутизатор Б не знает про это, тогда пакет дойдет до маршрутизатора Б(будет зашифрован, обработан со всеми почестями) он или пойдет в ДефолтРоут маршрутизатора Б, или если его нет- то пакет уйдет в славный dev/NULL , и в зависимости от политики маршрутизатора и вида пакета маршрутизатор или просто промолчит или в ответ выкинет что маршрут не доступен... Обойти? Практически не как, Люди старались что бы мусор гнобить и убивать... Старались делать динамические протоколы маршрутизации, делали возможность фильтрации маршрутизации, А вы просто так взять и обойти... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...