IKEv2 Site-to-Site IPSec VPN для филиалов.

[Mrdude]

Доброго всем времени суток.

Пытаюсь подключить несколько RB4011 c 6.46 к CHR по IPSEC (без туннелей) который находится в DMZ.

Соответственно встает вопрос каким образом настраивать IPSec modeconf\NAT для обмена трафиком между Внутренними сетями?

[Chupaka]

Приветствую.

Для обмена трафиком вам нужно просто полиси настроить как (на RB4011) src-address=локальная_подсеть dst-address=общая_подсеть_для_внутренних_сетей. На CHR, соответственно, наоборот.

Или в чём заключается вопрос?..

[Mrdude]

Приветствую.

Для обмена трафиком вам нужно просто полиси настроить как (на RB4011) src-address=локальная_подсеть dst-address=общая_подсеть_для_внутренних_сетей. На CHR, соответственно, наоборот.

Или в чём заключается вопрос?..

При этом сеть DMZ будет игнорироваться и трафик будет автоматически "проскакивать" в сеть за файрволлом?

[Chupaka]

DMZ - это, скорее, организационная политика, а не некий стандарт, поэтому поясните, что вы понимаете под этим термином в данном случае.

И какие из сетей на рисунке вы называете "внутренними". Я считал таковыми правых клиентов.

[Mrdude]

DMZ - это, скорее, организационная политика, а не некий стандарт, поэтому поясните, что вы понимаете под этим термином в данном случае.

И какие из сетей на рисунке вы называете "внутренними". Я считал таковыми правых клиентов.

Внутренние 192.168.0.0 192.168.128.0, необходим обмен между ними. Доступ к 192.168.1.0 из 192.168.128.0 не требуется.

[Chupaka]

Т.е. тоннель у вас поднимается от 192.168.128.0 в сторону 192.168.1.0, а доступ нужен в 192.168.0.0, где на пути установлен файрвол.

Значит, надо убедиться, что этот файрвол (про него никакой информации нет) не будет мешать прохождению трафика. И настраивать рекомендую без всяких NAT'ов, чтобы не усложнять себе жизнь в дальнейшем.

[Mrdude]

И настраивать рекомендую без всяких NAT'ов, чтобы не усложнять себе жизнь в дальнейшем.

В этом мой вопрос и заключается. Стоит так делать или IPIP-тонель настроить?

[Chupaka]

Так, как я написал - определённо стоит делать, поскольку там не конкретная реализация, а лишь характеристика хорошего решения.

А тоннель вы откуда куда хотите настраивать? А то мои телепатические способности очень слабы пока что...

[Mrdude]

Так, как я написал - определённо стоит делать, поскольку там не конкретная реализация, а лишь характеристика хорошего решения.

А тоннель вы откуда куда хотите настраивать? А то мои телепатические способности очень слабы пока что...

Прошу прощения, если запутал. Сам тоннель между IKEv2 сервером и клиентом. DMZ физический линк кабелем.

[Chupaka]

А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..

[Mrdude]

А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..

Прошу прощения за задержку. Не мог сюда писать.

DMZ это физический линк между двумя роутера, оба имеют IP на портах этого линка. Т.е. сервер IPsec подключен отдельным кабелем к роутеру с отдельным IP, что обычно и называют DMZ. IPIP должен позволить маршрутизировать трафик между внутренними сетями, но хотелось бы обойтись без него.

[Chupaka]

На стороннем сервере уже даже картинка протухла

Ну так если у вас там просто кабель - то и маршрутизироваться всё должно без проблем и без IPIP.

[Mrdude]

А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..

Насколько смог понять, чтобы получить желаемое нужно ждать VTI в RoS. Пока настроил просто IPSec туннель с srcnat. Только не могу понять как сам роутер заставить ему следовать, чтобы он свой внутренний IP всегда поставлял.

Upd. Winbox не хочет подключатся, все остальное работает.

[Chupaka]

А, вы про этот IPIP, поверх IPSec... Не смотрели в сторону L2TP over IPSec? Там и IPSec, и UDP-транспорт...

[Mrdude]

А, вы про этот IPIP, поверх IPSec... Не смотрели в сторону L2TP over IPSec? Там и IPSec, и UDP-транспорт...

Нет, просто IPSec туннель с src-nat. L2TP с IKEv2 придётся настроить, если у данного решения найдутся еще ограничения.

Есть смысл для туннеля настраивать?
/ip firewall raw
add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp

А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности.

С Winbox трафик проходит, если указывать разрешение для WAN на его порт. Видимо трафик из туннеля обрабатывается как wan-вский.

[Chupaka]

Есть смысл для туннеля настраивать?
/ip firewall raw
add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp

А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности.

Есть, т.к. вряд ли вас будут досить IPSec'ом, поэтому все пакеты можно пускать на обработку А последний фильтр - он для обычного разрешения лишь нужного трафика, если вы не разрешаете всё подряд.

С Winbox трафик проходит, если указывать разрешение для WAN на его порт. Видимо трафик из туннеля обрабатывается как wan-вский.

Да, поскольку нет отдельного VDI - входящим интерфейсом является WAN.