IKEv2 Site-to-Site IPSec VPN для филиалов.

Базовая функциональность RouterOS
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Доброго всем времени суток.

Пытаюсь подключить несколько RB4011 c 6.46 к CHR по IPSEC (без туннелей) который находится в DMZ.

Соответственно встает вопрос каким образом настраивать IPSec modeconf\NAT для обмена трафиком между Внутренними сетями?

Изображение
Аватара пользователя
Chupaka
Сообщения: 2954
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

Приветствую.

Для обмена трафиком вам нужно просто полиси настроить как (на RB4011) src-address=локальная_подсеть dst-address=общая_подсеть_для_внутренних_сетей. На CHR, соответственно, наоборот.

Или в чём заключается вопрос?..
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 18 ноя 2020, 14:32 Приветствую.

Для обмена трафиком вам нужно просто полиси настроить как (на RB4011) src-address=локальная_подсеть dst-address=общая_подсеть_для_внутренних_сетей. На CHR, соответственно, наоборот.

Или в чём заключается вопрос?..
При этом сеть DMZ будет игнорироваться и трафик будет автоматически "проскакивать" в сеть за файрволлом?
Аватара пользователя
Chupaka
Сообщения: 2954
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

DMZ - это, скорее, организационная политика, а не некий стандарт, поэтому поясните, что вы понимаете под этим термином в данном случае.

И какие из сетей на рисунке вы называете "внутренними". Я считал таковыми правых клиентов.
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 19 ноя 2020, 22:53 DMZ - это, скорее, организационная политика, а не некий стандарт, поэтому поясните, что вы понимаете под этим термином в данном случае.

И какие из сетей на рисунке вы называете "внутренними". Я считал таковыми правых клиентов.
Внутренние 192.168.0.0 192.168.128.0, необходим обмен между ними. Доступ к 192.168.1.0 из 192.168.128.0 не требуется.
Аватара пользователя
Chupaka
Сообщения: 2954
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

Т.е. тоннель у вас поднимается от 192.168.128.0 в сторону 192.168.1.0, а доступ нужен в 192.168.0.0, где на пути установлен файрвол.

Значит, надо убедиться, что этот файрвол (про него никакой информации нет) не будет мешать прохождению трафика. И настраивать рекомендую без всяких NAT'ов, чтобы не усложнять себе жизнь в дальнейшем.
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 20 ноя 2020, 14:10 И настраивать рекомендую без всяких NAT'ов, чтобы не усложнять себе жизнь в дальнейшем.
В этом мой вопрос и заключается. Стоит так делать или IPIP-тонель настроить?
Аватара пользователя
Chupaka
Сообщения: 2954
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

Так, как я написал - определённо стоит делать, поскольку там не конкретная реализация, а лишь характеристика хорошего решения.

А тоннель вы откуда куда хотите настраивать? А то мои телепатические способности очень слабы пока что...
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 21 ноя 2020, 23:17 Так, как я написал - определённо стоит делать, поскольку там не конкретная реализация, а лишь характеристика хорошего решения.

А тоннель вы откуда куда хотите настраивать? А то мои телепатические способности очень слабы пока что...
Прошу прощения, если запутал. Сам тоннель между IKEv2 сервером и клиентом. DMZ физический линк кабелем.
Аватара пользователя
Chupaka
Сообщения: 2954
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..