Axen Опубликовано 24 января, 2022 · Жалоба Здравствуйте, начал работать с ipsec (чистый IKEv2 на сертификатах), успешно сделал связь между главным офисом и филиалами. Теперь появилась задача что бы можно было подключиться из вне к главному офису, и подключиться к устройствам как и в главном офисе, так и в филиалах. Первая часть задачи выполнена успешно, подключаемся из вне к главному офисе, и спокойно попадаем на устройства внутри него. А дальше проблема, не удаётся попасть на другие филиалы. Схема: То есть клиент, подключившись с помощью IKEv2 к R01, должен попасть на устройства, находящиеся в сетях за R02-R04, связанных с R01 так же с помощью IKEv2. В сеть находящуюся за R01 клиент попадает. Клиенту выдаётся адрес из подсети 192.168.99.0/24. Из оборудования используются Mikrotik RB941-2nD. Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec, без L2TP, GRE и так далее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 25 января, 2022 (изменено) · Жалоба Axen, здравствуйте. В 24.01.2022 в 17:57, Axen сказал: А дальше проблема, не удаётся попасть на другие филиалы. Подскажите пожалуйста, для чего нужны такие "пляски с бубном" в виде IPSec и чистого Site-To-Site, без дополнительного протокола туннелирования, при организации связности между филиалами на собственной, Вам подконтрольной сети? Ведь между филиалами, намного проще использовать Site-To-Site в формате IPSec mode transport и в связке с туннелированием GRE или IP-IP, чтобы использовать классическую маршрутизацию. В 24.01.2022 в 17:57, Axen сказал: Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec, без L2TP, GRE и так далее? При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation Изменено 27 января, 2022 пользователем SUrov_IBM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Axen Опубликовано 25 января, 2022 · Жалоба В 25.01.2022 в 10:51, SUrov_IBM сказал: Подскажите пожалуйста, для чего нужны такие "пляски с бубном" в виде IPSec и чистого Site-To-Site, без дополнительного протокола туннелирования, при организации связности между филиалами на собственной, Вам подконтрольной сети? Ведь между филиалами, намного проще использовать Site-To-Site в формате IPSec mode transport и в связке с туннелированием GRE или IP-IP, чтобы использовать классическую маршрутизацию. 1. IP статический только на главном офисе (R01) 2. Часть остальных офисов находятся за NAT провайдера, NAT внутренней сети торгового центра, или просто отсутствует возможность взять статический IP В 25.01.2022 в 10:51, SUrov_IBM сказал: При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation Спасибо, пошёл читать, думать, пробовать. P.S. А в целом, согласен с Вами, проще использовать ipsec с каким либо интерфейсом, что бы использовать классическую маршрутизацию. И начинаю склоняться к использованию проверенного варианта L2TP/IPsec. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Axen Опубликовано 25 января, 2022 · Жалоба В 25.01.2022 в 10:51, SUrov_IBM сказал: При использовании MIKROTIK и того, что Вы планируете добиться, в голову лезут только всяческие извращения с NAT, на подобии - https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Enabling_dynamic_source_NAT_rule_generation Не могу дать ума ни как, как это может помочь в моём случае? На клиенте, маршрут до сетей филиалов есть. При трассировке, первый хоп 192.168.10.1 (R01), дальше обрывается. То есть, делаю вывод, пакеты доходят до R01, а дальше маршрутизатор не понимает что с ними делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 25 января, 2022 · Жалоба 1. Внутренние сети должны быть исключены из NAT, чтобы в NAT трафик в их направлении не попадал. На всех маршрутизаторах. 2. В forward должен быть разрешен и трафик сетей филиалов, и трафик сети, адреса из которой выдаются VPN-клиентам. На всех маршрутизаторах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DeLL Опубликовано 25 января, 2022 · Жалоба В 25.01.2022 в 07:35, Axen сказал: 1. IP статический только на главном офисе (R01) Отлично, там у вас будет L2TP-сервер и все филиалы будут коннектиться к нему из-за ната и прочего. Получите классику с маршрутизацией Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Axen Опубликовано 25 января, 2022 · Жалоба В 25.01.2022 в 16:36, jffulcrum сказал: 1. Внутренние сети должны быть исключены из NAT, чтобы в NAT трафик в их направлении не попадал. На всех маршрутизаторах. 2. В forward должен быть разрешен и трафик сетей филиалов, и трафик сети, адреса из которой выдаются VPN-клиентам. На всех маршрутизаторах. Благодарю, буду смотреть чего не сделал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 25 января, 2022 · Жалоба On 1/24/2022 at 4:57 PM, Axen said: Теперь сам вопрос, такое возможно вообще реализовать на чистом ipsec Конечно можно, добавьте на R01 политики для трех пар подсетей (клиентская 192.168.99.0/24 - филиал) через соответствующих пиров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 января, 2022 · Жалоба В 24.01.2022 в 17:57, Axen сказал: должен попасть на устройства, находящиеся в сетях за R02-R04, связанных с R01 так же с помощью IKEv2. В сеть находящуюся за R01 клиент попадает. Однажды один администратор так же называл маршрутизаторы R02, R03 и так далее, но когда дал название маршрутизатору R99 встал вопрос, как перенастроить первые 99 маршрутизаторов на наименования вида R002, R003, ведь если он будет продолжать нумерацию вида R101 и выше, это будет выдавать путаницу в сортировке. Так же если вдруг какие-то маршрутизаторы будут выводится из работы, куда девать их номера? Называть маршрутизаторы надо по их локальному IP адресу, который присваивается каждому по некой схеме. Далее соединяете с центром все устройства по L2TP каналам, настраиваете OSPF, забываете про IKEv2. Если надо обеспечить доступ сотрудникам по VPN, можете поставить отдельный микротик и на нем заниматься всякой устаревшей ерундой вида IPSEC. Хотя уже все поддерживают SSTP с указанием сертификата, и не надо ничего настраивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 25 января, 2022 · Жалоба 4 часа назад, Saab95 сказал: Однажды один администратор так же называл маршрутизаторы R02, R03 и так далее, но когда дал название маршрутизатору R99 встал вопрос, как перенастроить первые 99 маршрутизаторов на наименования вида R002, R003, ведь если он будет продолжать нумерацию вида R101 и выше, это будет выдавать путаницу в сортировке. Что за бред, мда... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 января, 2022 · Жалоба В 25.01.2022 в 19:09, fractal сказал: Что за бред, мда... Вы строили сети, хотя бы на 500 маршрутизаторов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 25 января, 2022 · Жалоба 6 часов назад, Saab95 сказал: Вы строили сети, хотя бы на 500 маршрутизаторов? У меня сейчас более 1000, Flexvpn + dmvpn, а ранее я был в провайдинге там и поболее было, и никаких проблем не было и нет, ни с изменением имени ни каким то конфигом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Axen Опубликовано 27 января, 2022 · Жалоба @McSea спасибо, натолкнул на нужную мысль, посмотрел более внимательнее на политику в филиале, и нашёл ошибку в ней. Всем спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...