IKEv2 Site-to-Site IPSec VPN для филиалов.

Базовая функциональность RouterOS
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 25 ноя 2020, 18:59 А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Прошу прощения за задержку. Не мог сюда писать.

DMZ это физический линк между двумя роутера, оба имеют IP на портах этого линка. Т.е. сервер IPsec подключен отдельным кабелем к роутеру с отдельным IP, что обычно и называют DMZ. IPIP должен позволить маршрутизировать трафик между внутренними сетями, но хотелось бы обойтись без него.
Аватара пользователя
Chupaka
Сообщения: 2961
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

На стороннем сервере уже даже картинка протухла :)

Ну так если у вас там просто кабель - то и маршрутизироваться всё должно без проблем и без IPIP.
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 25 ноя 2020, 18:59 А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Насколько смог понять, чтобы получить желаемое нужно ждать VTI в RoS. Пока настроил просто IPSec туннель с srcnat. Только не могу понять как сам роутер заставить ему следовать, чтобы он свой внутренний IP всегда поставлял.

Upd. Winbox не хочет подключатся, все остальное работает.
Аватара пользователя
Chupaka
Сообщения: 2961
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

А, вы про этот IPIP, поверх IPSec... Не смотрели в сторону L2TP over IPSec? Там и IPSec, и UDP-транспорт...
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 13 дек 2020, 02:01 А, вы про этот IPIP, поверх IPSec... Не смотрели в сторону L2TP over IPSec? Там и IPSec, и UDP-транспорт...
Нет, просто IPSec туннель с src-nat. L2TP с IKEv2 придётся настроить, если у данного решения найдутся еще ограничения.

Есть смысл для туннеля настраивать?
/ip firewall raw
add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp

А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности.

С Winbox трафик проходит, если указывать разрешение для WAN на его порт. Видимо трафик из туннеля обрабатывается как wan-вский.
Аватара пользователя
Chupaka
Сообщения: 2961
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

Mrdude писал(а): 13 дек 2020, 10:49 Есть смысл для туннеля настраивать?
/ip firewall raw
add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp

А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности.
Есть, т.к. вряд ли вас будут досить IPSec'ом, поэтому все пакеты можно пускать на обработку :) А последний фильтр - он для обычного разрешения лишь нужного трафика, если вы не разрешаете всё подряд.
Mrdude писал(а): 13 дек 2020, 10:49 С Winbox трафик проходит, если указывать разрешение для WAN на его порт. Видимо трафик из туннеля обрабатывается как wan-вский.
Да, поскольку нет отдельного VDI - входящим интерфейсом является WAN.