Jump to content

Mikrotik + IKEv2 + связь между узлами и клиентом.

Axen
 Share

Recommended Posts

Axen

Axen

Posted
Posted

Здравствуйте, начал работать с ipsec (чистый IKEv2 на сертификатах), успешно сделал связь между главным офисом и филиалами. Теперь появилась задача что бы можно было подключиться из вне к главному офису, и подключиться к устройствам как и в главном офисе, так и  в филиалах. Первая часть задачи выполнена успешно, подключаемся из вне к главному офисе, и спокойно попадаем на устройства внутри него. А дальше проблема, не удаётся попасть на другие филиалы.

 

Схема:

1276496598_.thumb.png.899400ea75c419ce548e516b03fc4767.png

То есть клиент, подключившись с помощью IKEv2 к R01, должен попасть на устройства, находящиеся в сетях за R02-R04, связанных с R01 так же с помощью IKEv2. В сеть находящуюся за R01 клиент попадает. Клиенту выдаётся адрес из подсети 192.168.99.0/24.

Из оборудования используются Mikrotik RB941-2nD.

 

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec, без L2TP, GRE и так далее?

SUrov_IBM

SUrov_IBM

Posted
Posted (edited)

Axen, здравствуйте.

 

В 24.01.2022 в 17:57, Axen сказал:

А дальше проблема, не удаётся попасть на другие филиалы.

Подскажите пожалуйста, для чего нужны такие "пляски с бубном" в виде IPSec и чистого Site-To-Site, без дополнительного протокола туннелирования, при организации связности между филиалами на собственной, Вам подконтрольной сети?

Ведь между филиалами, намного проще использовать Site-To-Site в формате IPSec mode transport и в связке с туннелированием GRE или IP-IP, чтобы использовать классическую маршрутизацию.

 

 

В 24.01.2022 в 17:57, Axen сказал:

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec, без L2TP, GRE и так далее?

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Edited by SUrov_IBM
Axen

Axen

Posted
  • Author
Posted
В 25.01.2022 в 10:51, SUrov_IBM сказал:

Подскажите пожалуйста, для чего нужны такие "пляски с бубном" в виде IPSec и чистого Site-To-Site, без дополнительного протокола туннелирования, при организации связности между филиалами на собственной, Вам подконтрольной сети?

Ведь между филиалами, намного проще использовать Site-To-Site в формате IPSec mode transport и в связке с туннелированием GRE или IP-IP, чтобы использовать классическую маршрутизацию.

1. IP статический только на главном офисе (R01)

2. Часть остальных офисов находятся за NAT провайдера, NAT внутренней сети торгового центра, или просто отсутствует возможность взять статический IP

 

В 25.01.2022 в 10:51, SUrov_IBM сказал:

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Спасибо, пошёл читать, думать, пробовать.

 

P.S. А в целом, согласен с Вами, проще использовать ipsec с каким либо интерфейсом, что бы использовать классическую маршрутизацию. И начинаю склоняться к использованию проверенного варианта L2TP/IPsec.

Axen

Axen

Posted
  • Author
Posted
В 25.01.2022 в 10:51, SUrov_IBM сказал:

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Не могу дать ума ни как, как это может помочь в моём случае?

 

На клиенте, маршрут до сетей филиалов есть. При трассировке, первый хоп 192.168.10.1 (R01), дальше обрывается. То есть, делаю вывод, пакеты доходят до R01, а дальше маршрутизатор не понимает что с ними делать.

jffulcrum

jffulcrum

Posted
Posted

1. Внутренние сети должны быть исключены из NAT, чтобы в NAT трафик в их направлении не попадал. На всех маршрутизаторах.

2. В forward должен быть разрешен и трафик сетей филиалов, и трафик сети, адреса из которой выдаются VPN-клиентам. На всех маршрутизаторах.

DeLL

DeLL

Posted
Posted
В 25.01.2022 в 07:35, Axen сказал:

1. IP статический только на главном офисе (R01)

Отлично, там у вас будет L2TP-сервер и все филиалы будут коннектиться к нему из-за ната и прочего. Получите классику с маршрутизацией

Axen

Axen

Posted
  • Author
Posted
В 25.01.2022 в 16:36, jffulcrum сказал:

1. Внутренние сети должны быть исключены из NAT, чтобы в NAT трафик в их направлении не попадал. На всех маршрутизаторах.

2. В forward должен быть разрешен и трафик сетей филиалов, и трафик сети, адреса из которой выдаются VPN-клиентам. На всех маршрутизаторах.

Благодарю, буду смотреть чего не сделал.

McSea

McSea

Posted
Posted
On 1/24/2022 at 4:57 PM, Axen said:

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec

Конечно можно, добавьте на R01 политики для трех пар подсетей (клиентская 192.168.99.0/24 - филиал) через соответствующих пиров.

 

Saab95

Saab95

Posted
Posted
В 24.01.2022 в 17:57, Axen сказал:

должен попасть на устройства, находящиеся в сетях за R02-R04, связанных с R01 так же с помощью IKEv2. В сеть находящуюся за R01 клиент попадает.

Однажды один администратор так же называл маршрутизаторы R02, R03 и так далее, но когда дал название маршрутизатору R99 встал вопрос, как перенастроить первые 99 маршрутизаторов на наименования вида R002, R003, ведь если он будет продолжать нумерацию вида R101 и выше, это будет выдавать путаницу в сортировке.

 

Так же если вдруг какие-то маршрутизаторы будут выводится из работы, куда девать их номера?

 

Называть маршрутизаторы надо по их локальному IP адресу, который присваивается каждому по некой схеме.

 

Далее соединяете с центром все устройства по L2TP каналам, настраиваете OSPF, забываете про IKEv2. Если надо обеспечить доступ сотрудникам по VPN, можете поставить отдельный микротик и на нем заниматься всякой устаревшей ерундой вида IPSEC. Хотя уже все поддерживают SSTP с указанием сертификата, и не надо ничего настраивать.

fractal

fractal

Posted
Posted
4 часа назад, Saab95 сказал:

Однажды один администратор так же называл маршрутизаторы R02, R03 и так далее, но когда дал название маршрутизатору R99 встал вопрос, как перенастроить первые 99 маршрутизаторов на наименования вида R002, R003, ведь если он будет продолжать нумерацию вида R101 и выше, это будет выдавать путаницу в сортировке.

 

Что за бред, мда... 

fractal

fractal

Posted
Posted
6 часов назад, Saab95 сказал:

Вы строили сети, хотя бы на 500 маршрутизаторов?

У меня сейчас более 1000, Flexvpn + dmvpn, а ранее я был в провайдинге там и поболее было, и никаких проблем не было и нет, ни с изменением имени ни каким то конфигом

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.