Конфигурирование IPSec. Вопрос о Policy Groups.

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Конфигурирование IPSec. Вопрос о Policy Groups.

Сообщение Sweik » 27 июн 2018, 18:19

Добрый день.

Нахожусь в сильном ступоре от недопонимания одного из параметров IPsec. Речь идет о Policy Groups.
Официальная документация кратко говорит, что это
Name of the policy group to which this template is assigned.
Если в WinBox-e выбрать IP --> IPSec --> Groups , то там будет доступна дефолтная группа, в описании которой доступно только поле с названием. Также, эта группа упоминается в настройках IPSec Peers (в качестве параметра Policy Template Group) и в настройках IPSec Policy.
Wiki от Mikrotik-a объясняет, что это - довольна важная штука при конфигурировании Road Warrior-a
https://wiki.mikrotik.com/wiki/Manual%3 ... c#Policies (ищите строку "Road Warrior setup with Mode Conf"), т.е. RTFM я выполнил, но светлеее мне не стало :)

Может кто-то обладает даром объяснять непонятно?

Заранее и с уважением.
С уважением

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Конфигурирование IPSec. Вопрос о Policy Groups.

Сообщение Chupaka » 27 июн 2018, 18:35

Добрый.

У peer указываем policy-template-group - тогда при согласовании соединения будут одобрены только те политики, которые добавлены в эту группу. Если так не делать - клиент, например, указывает у себя селектор 0.0.0.0/0 - и весь трафик с удалённого роутера идёт к этому клиенту по IPSec-каналу, а админу роутера звонят, что Интернет не работает :) Ну, или работает, но зловредный клиент расшифровывает и снифает трафик без разрешения :)

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Конфигурирование IPSec. Вопрос о Policy Groups.

Сообщение Sweik » 28 июн 2018, 10:16

Гениально!
Спасибо, буду в Минске - с меня пиво. Много :)
Я нутром чуял, что группа связывает собой пиры и политики, но мне требовалось подтверждение.

Еще раз - спасибо
С уважением

Ответить