IPFire+Mikrotik VPN IPSec

RIP, OSFP, BGP, MPLS/VPLS
PaulRest1
Сообщения: 7
Зарегистрирован: 10 апр 2024, 21:49

IPFire+Mikrotik VPN IPSec

Сообщение PaulRest1 »

Ребята, у кого есть опыт в настройки VPN между IPFire и Mikrotik?
Удалось настроить между ними IPSec через GRE, но не через добавление интерфейса, по этому не могу настроить маршруты.
Если может кто то помочь опишу более подробно. Заранее спасибо.
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPFire+Mikrotik VPN IPSec

Сообщение Chupaka »

PaulRest1 писал(а): 10 апр 2024, 21:54 IPSec через GRE, но не через добавление интерфейса
Это, простите, как? Если GRE есть - то это уже интерфейс...
PaulRest1
Сообщения: 7
Зарегистрирован: 10 апр 2024, 21:49

Re: IPFire+Mikrotik VPN IPSec

Сообщение PaulRest1 »

Прошу прощения может не так выразился.
Настройка происходила не через добавление нового интерфейса GRE Tunnel, а через ручную настройку IPSec, из-за особенностей IPFire.
В моем случае настройка:
1. На IPFire создается соединение "Net-to-Net Virtual Private Network", параметры соединения: локальная подсеть, удаленный хост, удаленная подсеть;
2. Там же настройки IPsec Settings: тип - tunnel или transport, Interface - GRE или VTI, IP address/Subnet Mask и Use a pre-shared key;
3. В дополнительных настройках соединения указал алгоритмы шифрования и авторизацию (есть только IKEv2 или IKEv1);
3. На Mikrotik RB4011iGS+ ROS 6.49.14 ручное создание Peers, Policies, Proposais, т.к. при создании интерфейса через добавление GRE Tunnel и указания удаленного и локального IP - соединение не устанавливается из-за несоответствия параметров (авторизации и алгоритмов шифрования) автоматически созданного Peers - применяется дефолтная Policies 4 (ip-encap) (надо 47(gre)) и Proposais-Exchange mode-main (а нужен IKE2);
4. После ручной настройки происходит аутентификация, соединения становится established, ключи SA появляются, PH2 State тоже established.

В общем судя по всему соединение устанавливается, но как теперь настроить маршрутизацию через это соединение, добавить в Route List не могу так как нет этого интерфейса в списке Gateway.

Вкратце как то так, если есть идеи могу описать подробнее и со скринами.
Но на практики поднимал не раз VPN на L2TP, GRE Tunnel и IPIP Tunnel, а тут прямо в ступоре. :(
Понимаю что не хватает знаний маршрутизации... :(
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPFire+Mikrotik VPN IPSec

Сообщение Chupaka »

VTI в RouterOS не поддерживается, увы.

И я не имел в виду простую установку галки IPSec у GRE-тоннеля. Что если на Микротике создать вручную всё для IPSec между адресами роутеров - и поднять в этом IPSec лишь GRE-тоннель (без галки IPSec)?
PaulRest1
Сообщения: 7
Зарегистрирован: 10 апр 2024, 21:49

Re: IPFire+Mikrotik VPN IPSec

Сообщение PaulRest1 »

Chupaka писал(а): 11 апр 2024, 23:00 VTI в RouterOS не поддерживается, увы.

И я не имел в виду простую установку галки IPSec у GRE-тоннеля. Что если на Микротике создать вручную всё для IPSec между адресами роутеров - и поднять в этом IPSec лишь GRE-тоннель (без галки IPSec)?
Ну оно так и получается, но как теперь заставить трафик идти в этот туннель? В Route List не могу так как нет интерфейса для маршрутизации.
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPFire+Mikrotik VPN IPSec

Сообщение Chupaka »

Что получается? Если вы GRE-тоннель подняли - то он определённо должен быть...
PaulRest1
Сообщения: 7
Зарегистрирован: 10 апр 2024, 21:49

Re: IPFire+Mikrotik VPN IPSec

Сообщение PaulRest1 »

Chupaka писал(а): 13 апр 2024, 11:20 Что получается? Если вы GRE-тоннель подняли - то он определённо должен быть...
Как я уже писал выше был настроен IPSeс через GRE.
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPFire+Mikrotik VPN IPSec

Сообщение Chupaka »

Это на какой стороне? GRE-интерфейс с обеих сторон есть? И тут, скорее, должен быть GRE через IPSec, а не наоборот...
PaulRest1
Сообщения: 7
Зарегистрирован: 10 апр 2024, 21:49

Re: IPFire+Mikrotik VPN IPSec

Сообщение PaulRest1 »

У IPFire есть только OpenVPN и IPSec. :(
PaulRest1
Сообщения: 7
Зарегистрирован: 10 апр 2024, 21:49

Re: IPFire+Mikrotik VPN IPSec

Сообщение PaulRest1 »

В общем тему можно закрывать, пришлось установить RouterOS на другой стороне и настроил как обычно через IP Tunnel c IPSec. Спасибо. :)
PaulRest1
Сообщения: 7
Зарегистрирован: 10 апр 2024, 21:49

Re: IPFire+Mikrotik VPN IPSec

Сообщение PaulRest1 »

Кстати, из опыта что лучше GRE+IPSec или IPIP+IPSec?
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPFire+Mikrotik VPN IPSec

Сообщение Chupaka »

У IPIP меньше overhead инкапсуляции, так что бОльшие пакеты пролазят без фрагментации :)