[Axen]

Здравствуйте, начал работать с ipsec (чистый IKEv2 на сертификатах), успешно сделал связь между главным офисом и филиалами. Теперь появилась задача что бы можно было подключиться из вне к главному офису, и подключиться к устройствам как и в главном офисе, так и  в филиалах. Первая часть задачи выполнена успешно, подключаемся из вне к главному офисе, и спокойно попадаем на устройства внутри него. А дальше проблема, не удаётся попасть на другие филиалы.

 

Схема:

То есть клиент, подключившись с помощью IKEv2 к R01, должен попасть на устройства, находящиеся в сетях за R02-R04, связанных с R01 так же с помощью IKEv2. В сеть находящуюся за R01 клиент попадает. Клиенту выдаётся адрес из подсети 192.168.99.0/24.

Из оборудования используются Mikrotik RB941-2nD.

 

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec, без L2TP, GRE и так далее?

[SUrov_IBM]

Axen, здравствуйте.

 

В 24.01.2022 в 17:57, Axen сказал:

А дальше проблема, не удаётся попасть на другие филиалы.

Подскажите пожалуйста, для чего нужны такие "пляски с бубном" в виде IPSec и чистого Site-To-Site, без дополнительного протокола туннелирования, при организации связности между филиалами на собственной, Вам подконтрольной сети?

Ведь между филиалами, намного проще использовать Site-To-Site в формате IPSec mode transport и в связке с туннелированием GRE или IP-IP, чтобы использовать классическую маршрутизацию.

 

 

В 24.01.2022 в 17:57, Axen сказал:

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec, без L2TP, GRE и так далее?

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Edited January 27, 2022 by SUrov_IBM

[Axen]

В 25.01.2022 в 10:51, SUrov_IBM сказал:

Подскажите пожалуйста, для чего нужны такие "пляски с бубном" в виде IPSec и чистого Site-To-Site, без дополнительного протокола туннелирования, при организации связности между филиалами на собственной, Вам подконтрольной сети?

Ведь между филиалами, намного проще использовать Site-To-Site в формате IPSec mode transport и в связке с туннелированием GRE или IP-IP, чтобы использовать классическую маршрутизацию.

1. IP статический только на главном офисе (R01)

2. Часть остальных офисов находятся за NAT провайдера, NAT внутренней сети торгового центра, или просто отсутствует возможность взять статический IP

 

В 25.01.2022 в 10:51, SUrov_IBM сказал:

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Спасибо, пошёл читать, думать, пробовать.

 

P.S. А в целом, согласен с Вами, проще использовать ipsec с каким либо интерфейсом, что бы использовать классическую маршрутизацию. И начинаю склоняться к использованию проверенного варианта L2TP/IPsec.

[Axen]

В 25.01.2022 в 10:51, SUrov_IBM сказал:

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Не могу дать ума ни как, как это может помочь в моём случае?

 

На клиенте, маршрут до сетей филиалов есть. При трассировке, первый хоп 192.168.10.1 (R01), дальше обрывается. То есть, делаю вывод, пакеты доходят до R01, а дальше маршрутизатор не понимает что с ними делать.

[jffulcrum]

1. Внутренние сети должны быть исключены из NAT, чтобы в NAT трафик в их направлении не попадал. На всех маршрутизаторах.

2. В forward должен быть разрешен и трафик сетей филиалов, и трафик сети, адреса из которой выдаются VPN-клиентам. На всех маршрутизаторах.

[DeLL]

В 25.01.2022 в 07:35, Axen сказал:

1. IP статический только на главном офисе (R01)

Отлично, там у вас будет L2TP-сервер и все филиалы будут коннектиться к нему из-за ната и прочего. Получите классику с маршрутизацией

[Axen]

В 25.01.2022 в 16:36, jffulcrum сказал:

1. Внутренние сети должны быть исключены из NAT, чтобы в NAT трафик в их направлении не попадал. На всех маршрутизаторах.

2. В forward должен быть разрешен и трафик сетей филиалов, и трафик сети, адреса из которой выдаются VPN-клиентам. На всех маршрутизаторах.

Благодарю, буду смотреть чего не сделал.

[McSea]

On 1/24/2022 at 4:57 PM, Axen said:

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec

Конечно можно, добавьте на R01 политики для трех пар подсетей (клиентская 192.168.99.0/24 - филиал) через соответствующих пиров.

 

[Saab95]

В 24.01.2022 в 17:57, Axen сказал:

должен попасть на устройства, находящиеся в сетях за R02-R04, связанных с R01 так же с помощью IKEv2. В сеть находящуюся за R01 клиент попадает.

Однажды один администратор так же называл маршрутизаторы R02, R03 и так далее, но когда дал название маршрутизатору R99 встал вопрос, как перенастроить первые 99 маршрутизаторов на наименования вида R002, R003, ведь если он будет продолжать нумерацию вида R101 и выше, это будет выдавать путаницу в сортировке.

 

Так же если вдруг какие-то маршрутизаторы будут выводится из работы, куда девать их номера?

 

Называть маршрутизаторы надо по их локальному IP адресу, который присваивается каждому по некой схеме.

 

Далее соединяете с центром все устройства по L2TP каналам, настраиваете OSPF, забываете про IKEv2. Если надо обеспечить доступ сотрудникам по VPN, можете поставить отдельный микротик и на нем заниматься всякой устаревшей ерундой вида IPSEC. Хотя уже все поддерживают SSTP с указанием сертификата, и не надо ничего настраивать.

[fractal]

4 часа назад, Saab95 сказал:

Однажды один администратор так же называл маршрутизаторы R02, R03 и так далее, но когда дал название маршрутизатору R99 встал вопрос, как перенастроить первые 99 маршрутизаторов на наименования вида R002, R003, ведь если он будет продолжать нумерацию вида R101 и выше, это будет выдавать путаницу в сортировке.

 

Что за бред, мда... 

[Saab95]

В 25.01.2022 в 19:09, fractal сказал:

Что за бред, мда... 

Вы строили сети, хотя бы на 500 маршрутизаторов?

[fractal]

6 часов назад, Saab95 сказал:

Вы строили сети, хотя бы на 500 маршрутизаторов?

У меня сейчас более 1000, Flexvpn + dmvpn, а ранее я был в провайдинге там и поболее было, и никаких проблем не было и нет, ни с изменением имени ни каким то конфигом

[Axen]

@McSea спасибо, натолкнул на нужную мысль, посмотрел более внимательнее на политику в филиале, и нашёл ошибку в ней.

 

Всем спасибо!