IKEv2 Site-to-Site IPSec VPN для филиалов.

Базовая функциональность RouterOS
Ответить
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Доброго всем времени суток.

Пытаюсь подключить несколько RB4011 c 6.46 к CHR по IPSEC (без туннелей) который находится в DMZ.

Соответственно встает вопрос каким образом настраивать IPSec modeconf\NAT для обмена трафиком между Внутренними сетями?

Изображение
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

Приветствую.

Для обмена трафиком вам нужно просто полиси настроить как (на RB4011) src-address=локальная_подсеть dst-address=общая_подсеть_для_внутренних_сетей. На CHR, соответственно, наоборот.

Или в чём заключается вопрос?..
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 18 ноя 2020, 14:32 Приветствую.

Для обмена трафиком вам нужно просто полиси настроить как (на RB4011) src-address=локальная_подсеть dst-address=общая_подсеть_для_внутренних_сетей. На CHR, соответственно, наоборот.

Или в чём заключается вопрос?..
При этом сеть DMZ будет игнорироваться и трафик будет автоматически "проскакивать" в сеть за файрволлом?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

DMZ - это, скорее, организационная политика, а не некий стандарт, поэтому поясните, что вы понимаете под этим термином в данном случае.

И какие из сетей на рисунке вы называете "внутренними". Я считал таковыми правых клиентов.
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 19 ноя 2020, 22:53 DMZ - это, скорее, организационная политика, а не некий стандарт, поэтому поясните, что вы понимаете под этим термином в данном случае.

И какие из сетей на рисунке вы называете "внутренними". Я считал таковыми правых клиентов.
Внутренние 192.168.0.0 192.168.128.0, необходим обмен между ними. Доступ к 192.168.1.0 из 192.168.128.0 не требуется.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

Т.е. тоннель у вас поднимается от 192.168.128.0 в сторону 192.168.1.0, а доступ нужен в 192.168.0.0, где на пути установлен файрвол.

Значит, надо убедиться, что этот файрвол (про него никакой информации нет) не будет мешать прохождению трафика. И настраивать рекомендую без всяких NAT'ов, чтобы не усложнять себе жизнь в дальнейшем.
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 20 ноя 2020, 14:10 И настраивать рекомендую без всяких NAT'ов, чтобы не усложнять себе жизнь в дальнейшем.
В этом мой вопрос и заключается. Стоит так делать или IPIP-тонель настроить?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

Так, как я написал - определённо стоит делать, поскольку там не конкретная реализация, а лишь характеристика хорошего решения.

А тоннель вы откуда куда хотите настраивать? А то мои телепатические способности очень слабы пока что...
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 21 ноя 2020, 23:17 Так, как я написал - определённо стоит делать, поскольку там не конкретная реализация, а лишь характеристика хорошего решения.

А тоннель вы откуда куда хотите настраивать? А то мои телепатические способности очень слабы пока что...
Прошу прощения, если запутал. Сам тоннель между IKEv2 сервером и клиентом. DMZ физический линк кабелем.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 25 ноя 2020, 18:59 А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Прошу прощения за задержку. Не мог сюда писать.

DMZ это физический линк между двумя роутера, оба имеют IP на портах этого линка. Т.е. сервер IPsec подключен отдельным кабелем к роутеру с отдельным IP, что обычно и называют DMZ. IPIP должен позволить маршрутизировать трафик между внутренними сетями, но хотелось бы обойтись без него.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

На стороннем сервере уже даже картинка протухла :)

Ну так если у вас там просто кабель - то и маршрутизироваться всё должно без проблем и без IPIP.
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 25 ноя 2020, 18:59 А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Насколько смог понять, чтобы получить желаемое нужно ждать VTI в RoS. Пока настроил просто IPSec туннель с srcnat. Только не могу понять как сам роутер заставить ему следовать, чтобы он свой внутренний IP всегда поставлял.

Upd. Winbox не хочет подключатся, все остальное работает.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

А, вы про этот IPIP, поверх IPSec... Не смотрели в сторону L2TP over IPSec? Там и IPSec, и UDP-транспорт...
Mrdude
Сообщения: 10
Зарегистрирован: 18 ноя 2020, 00:55

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Mrdude »

Chupaka писал(а): 13 дек 2020, 02:01 А, вы про этот IPIP, поверх IPSec... Не смотрели в сторону L2TP over IPSec? Там и IPSec, и UDP-транспорт...
Нет, просто IPSec туннель с src-nat. L2TP с IKEv2 придётся настроить, если у данного решения найдутся еще ограничения.

Есть смысл для туннеля настраивать?
/ip firewall raw
add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp

А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности.

С Winbox трафик проходит, если указывать разрешение для WAN на его порт. Видимо трафик из туннеля обрабатывается как wan-вский.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN для филиалов.

Сообщение Chupaka »

Mrdude писал(а): 13 дек 2020, 10:49 Есть смысл для туннеля настраивать?
/ip firewall raw
add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp

А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности.
Есть, т.к. вряд ли вас будут досить IPSec'ом, поэтому все пакеты можно пускать на обработку :) А последний фильтр - он для обычного разрешения лишь нужного трафика, если вы не разрешаете всё подряд.
Mrdude писал(а): 13 дек 2020, 10:49 С Winbox трафик проходит, если указывать разрешение для WAN на его порт. Видимо трафик из туннеля обрабатывается как wan-вский.
Да, поскольку нет отдельного VDI - входящим интерфейсом является WAN.
Ответить