IPFire+Mikrotik VPN IPSec
-
- Сообщения: 7
- Зарегистрирован: 10 апр 2024, 21:49
IPFire+Mikrotik VPN IPSec
Ребята, у кого есть опыт в настройки VPN между IPFire и Mikrotik?
Удалось настроить между ними IPSec через GRE, но не через добавление интерфейса, по этому не могу настроить маршруты.
Если может кто то помочь опишу более подробно. Заранее спасибо.
Удалось настроить между ними IPSec через GRE, но не через добавление интерфейса, по этому не могу настроить маршруты.
Если может кто то помочь опишу более подробно. Заранее спасибо.
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
-
- Сообщения: 7
- Зарегистрирован: 10 апр 2024, 21:49
Re: IPFire+Mikrotik VPN IPSec
Прошу прощения может не так выразился.
Настройка происходила не через добавление нового интерфейса GRE Tunnel, а через ручную настройку IPSec, из-за особенностей IPFire.
В моем случае настройка:
1. На IPFire создается соединение "Net-to-Net Virtual Private Network", параметры соединения: локальная подсеть, удаленный хост, удаленная подсеть;
2. Там же настройки IPsec Settings: тип - tunnel или transport, Interface - GRE или VTI, IP address/Subnet Mask и Use a pre-shared key;
3. В дополнительных настройках соединения указал алгоритмы шифрования и авторизацию (есть только IKEv2 или IKEv1);
3. На Mikrotik RB4011iGS+ ROS 6.49.14 ручное создание Peers, Policies, Proposais, т.к. при создании интерфейса через добавление GRE Tunnel и указания удаленного и локального IP - соединение не устанавливается из-за несоответствия параметров (авторизации и алгоритмов шифрования) автоматически созданного Peers - применяется дефолтная Policies 4 (ip-encap) (надо 47(gre)) и Proposais-Exchange mode-main (а нужен IKE2);
4. После ручной настройки происходит аутентификация, соединения становится established, ключи SA появляются, PH2 State тоже established.
В общем судя по всему соединение устанавливается, но как теперь настроить маршрутизацию через это соединение, добавить в Route List не могу так как нет этого интерфейса в списке Gateway.
Вкратце как то так, если есть идеи могу описать подробнее и со скринами.
Но на практики поднимал не раз VPN на L2TP, GRE Tunnel и IPIP Tunnel, а тут прямо в ступоре.
Понимаю что не хватает знаний маршрутизации...
Настройка происходила не через добавление нового интерфейса GRE Tunnel, а через ручную настройку IPSec, из-за особенностей IPFire.
В моем случае настройка:
1. На IPFire создается соединение "Net-to-Net Virtual Private Network", параметры соединения: локальная подсеть, удаленный хост, удаленная подсеть;
2. Там же настройки IPsec Settings: тип - tunnel или transport, Interface - GRE или VTI, IP address/Subnet Mask и Use a pre-shared key;
3. В дополнительных настройках соединения указал алгоритмы шифрования и авторизацию (есть только IKEv2 или IKEv1);
3. На Mikrotik RB4011iGS+ ROS 6.49.14 ручное создание Peers, Policies, Proposais, т.к. при создании интерфейса через добавление GRE Tunnel и указания удаленного и локального IP - соединение не устанавливается из-за несоответствия параметров (авторизации и алгоритмов шифрования) автоматически созданного Peers - применяется дефолтная Policies 4 (ip-encap) (надо 47(gre)) и Proposais-Exchange mode-main (а нужен IKE2);
4. После ручной настройки происходит аутентификация, соединения становится established, ключи SA появляются, PH2 State тоже established.
В общем судя по всему соединение устанавливается, но как теперь настроить маршрутизацию через это соединение, добавить в Route List не могу так как нет этого интерфейса в списке Gateway.
Вкратце как то так, если есть идеи могу описать подробнее и со скринами.
Но на практики поднимал не раз VPN на L2TP, GRE Tunnel и IPIP Tunnel, а тут прямо в ступоре.
Понимаю что не хватает знаний маршрутизации...
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPFire+Mikrotik VPN IPSec
VTI в RouterOS не поддерживается, увы.
И я не имел в виду простую установку галки IPSec у GRE-тоннеля. Что если на Микротике создать вручную всё для IPSec между адресами роутеров - и поднять в этом IPSec лишь GRE-тоннель (без галки IPSec)?
И я не имел в виду простую установку галки IPSec у GRE-тоннеля. Что если на Микротике создать вручную всё для IPSec между адресами роутеров - и поднять в этом IPSec лишь GRE-тоннель (без галки IPSec)?
-
- Сообщения: 7
- Зарегистрирован: 10 апр 2024, 21:49
Re: IPFire+Mikrotik VPN IPSec
Ну оно так и получается, но как теперь заставить трафик идти в этот туннель? В Route List не могу так как нет интерфейса для маршрутизации.
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPFire+Mikrotik VPN IPSec
Что получается? Если вы GRE-тоннель подняли - то он определённо должен быть...
-
- Сообщения: 7
- Зарегистрирован: 10 апр 2024, 21:49
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPFire+Mikrotik VPN IPSec
Это на какой стороне? GRE-интерфейс с обеих сторон есть? И тут, скорее, должен быть GRE через IPSec, а не наоборот...
-
- Сообщения: 7
- Зарегистрирован: 10 апр 2024, 21:49
Re: IPFire+Mikrotik VPN IPSec
У IPFire есть только OpenVPN и IPSec.
-
- Сообщения: 7
- Зарегистрирован: 10 апр 2024, 21:49
Re: IPFire+Mikrotik VPN IPSec
В общем тему можно закрывать, пришлось установить RouterOS на другой стороне и настроил как обычно через IP Tunnel c IPSec. Спасибо.
-
- Сообщения: 7
- Зарегистрирован: 10 апр 2024, 21:49
Re: IPFire+Mikrotik VPN IPSec
Кстати, из опыта что лучше GRE+IPSec или IPIP+IPSec?
-
- Сообщения: 4098
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPFire+Mikrotik VPN IPSec
У IPIP меньше overhead инкапсуляции, так что бОльшие пакеты пролазят без фрагментации