Перейти к содержимому
Калькуляторы

Mikrotik + IKEv2 + связь между узлами и клиентом.

Здравствуйте, начал работать с ipsec (чистый IKEv2 на сертификатах), успешно сделал связь между главным офисом и филиалами. Теперь появилась задача что бы можно было подключиться из вне к главному офису, и подключиться к устройствам как и в главном офисе, так и  в филиалах. Первая часть задачи выполнена успешно, подключаемся из вне к главному офисе, и спокойно попадаем на устройства внутри него. А дальше проблема, не удаётся попасть на другие филиалы.

 

Схема:

1276496598_.thumb.png.899400ea75c419ce548e516b03fc4767.png

То есть клиент, подключившись с помощью IKEv2 к R01, должен попасть на устройства, находящиеся в сетях за R02-R04, связанных с R01 так же с помощью IKEv2. В сеть находящуюся за R01 клиент попадает. Клиенту выдаётся адрес из подсети 192.168.99.0/24.

Из оборудования используются Mikrotik RB941-2nD.

 

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec, без L2TP, GRE и так далее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Axen, здравствуйте.

 

В 24.01.2022 в 17:57, Axen сказал:

А дальше проблема, не удаётся попасть на другие филиалы.

Подскажите пожалуйста, для чего нужны такие "пляски с бубном" в виде IPSec и чистого Site-To-Site, без дополнительного протокола туннелирования, при организации связности между филиалами на собственной, Вам подконтрольной сети?

Ведь между филиалами, намного проще использовать Site-To-Site в формате IPSec mode transport и в связке с туннелированием GRE или IP-IP, чтобы использовать классическую маршрутизацию.

 

 

В 24.01.2022 в 17:57, Axen сказал:

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec, без L2TP, GRE и так далее?

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Изменено пользователем SUrov_IBM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.01.2022 в 10:51, SUrov_IBM сказал:

Подскажите пожалуйста, для чего нужны такие "пляски с бубном" в виде IPSec и чистого Site-To-Site, без дополнительного протокола туннелирования, при организации связности между филиалами на собственной, Вам подконтрольной сети?

Ведь между филиалами, намного проще использовать Site-To-Site в формате IPSec mode transport и в связке с туннелированием GRE или IP-IP, чтобы использовать классическую маршрутизацию.

1. IP статический только на главном офисе (R01)

2. Часть остальных офисов находятся за NAT провайдера, NAT внутренней сети торгового центра, или просто отсутствует возможность взять статический IP

 

В 25.01.2022 в 10:51, SUrov_IBM сказал:

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Спасибо, пошёл читать, думать, пробовать.

 

P.S. А в целом, согласен с Вами, проще использовать ipsec с каким либо интерфейсом, что бы использовать классическую маршрутизацию. И начинаю склоняться к использованию проверенного варианта L2TP/IPsec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.01.2022 в 10:51, SUrov_IBM сказал:

При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation

Не могу дать ума ни как, как это может помочь в моём случае?

 

На клиенте, маршрут до сетей филиалов есть. При трассировке, первый хоп 192.168.10.1 (R01), дальше обрывается. То есть, делаю вывод, пакеты доходят до R01, а дальше маршрутизатор не понимает что с ними делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Внутренние сети должны быть исключены из NAT, чтобы в NAT трафик в их направлении не попадал. На всех маршрутизаторах.

2. В forward должен быть разрешен и трафик сетей филиалов, и трафик сети, адреса из которой выдаются VPN-клиентам. На всех маршрутизаторах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.01.2022 в 07:35, Axen сказал:

1. IP статический только на главном офисе (R01)

Отлично, там у вас будет L2TP-сервер и все филиалы будут коннектиться к нему из-за ната и прочего. Получите классику с маршрутизацией

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.01.2022 в 16:36, jffulcrum сказал:

1. Внутренние сети должны быть исключены из NAT, чтобы в NAT трафик в их направлении не попадал. На всех маршрутизаторах.

2. В forward должен быть разрешен и трафик сетей филиалов, и трафик сети, адреса из которой выдаются VPN-клиентам. На всех маршрутизаторах.

Благодарю, буду смотреть чего не сделал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 1/24/2022 at 4:57 PM, Axen said:

Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec

Конечно можно, добавьте на R01 политики для трех пар подсетей (клиентская 192.168.99.0/24 - филиал) через соответствующих пиров.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 24.01.2022 в 17:57, Axen сказал:

должен попасть на устройства, находящиеся в сетях за R02-R04, связанных с R01 так же с помощью IKEv2. В сеть находящуюся за R01 клиент попадает.

Однажды один администратор так же называл маршрутизаторы R02, R03 и так далее, но когда дал название маршрутизатору R99 встал вопрос, как перенастроить первые 99 маршрутизаторов на наименования вида R002, R003, ведь если он будет продолжать нумерацию вида R101 и выше, это будет выдавать путаницу в сортировке.

 

Так же если вдруг какие-то маршрутизаторы будут выводится из работы, куда девать их номера?

 

Называть маршрутизаторы надо по их локальному IP адресу, который присваивается каждому по некой схеме.

 

Далее соединяете с центром все устройства по L2TP каналам, настраиваете OSPF, забываете про IKEv2. Если надо обеспечить доступ сотрудникам по VPN, можете поставить отдельный микротик и на нем заниматься всякой устаревшей ерундой вида IPSEC. Хотя уже все поддерживают SSTP с указанием сертификата, и не надо ничего настраивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, Saab95 сказал:

Однажды один администратор так же называл маршрутизаторы R02, R03 и так далее, но когда дал название маршрутизатору R99 встал вопрос, как перенастроить первые 99 маршрутизаторов на наименования вида R002, R003, ведь если он будет продолжать нумерацию вида R101 и выше, это будет выдавать путаницу в сортировке.

 

Что за бред, мда... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.01.2022 в 19:09, fractal сказал:

Что за бред, мда... 

Вы строили сети, хотя бы на 500 маршрутизаторов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, Saab95 сказал:

Вы строили сети, хотя бы на 500 маршрутизаторов?

У меня сейчас более 1000, Flexvpn + dmvpn, а ранее я был в провайдинге там и поболее было, и никаких проблем не было и нет, ни с изменением имени ни каким то конфигом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@McSea спасибо, натолкнул на нужную мысль, посмотрел более внимательнее на политику в филиале, и нашёл ошибку в ней.

 

Всем спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.