IPSec между двумя Mikrotik?

Question

[VMCLOUD]

Всем привет!

Собственно проблема, а вернее не понимание, как же должен работать IPSec в Микротиках. Ну начнем с вводных, что имеем:

1. Mikrotik#1 - 77.77.77.77 - 1WAN интерфейс, стоит в ДЦ, другие интерфейсы не задействованы.
2. Mikrotik#2 - 88.88.88.88 - RB2011UiAS - стоит в офисе, локалка 172.16.0.1/24

Задача поднять IPSec между микротиками и завернуть весь трафик в IPSec туннель. Ну тоесть тупо организовать выход в интернет через ДЦ.

Так вот, теперь начинается самое интересно, не могу понять как это сделать?! В простом варианте это поднять ipip туннель, оконечить его 172.16.254.0/30 (1 и 2 соответственно на концах туннелей), прописать на микротике в ДЦ маршрут о том что искать сеть 172.16.0.0/24 за туннелем ipip, навесить нат. На офисном микротике отмаркировать трафик, повесить маршрут 0.0.0.0/0 на ipip туннель с указанием маркировки.

В таком исполнении трафик бегает, странички открываются и все такое...

А теперь собственно хочется трафик в туннеле зашифровать. Для этого обратился к IPSec, и в конченом итоге получил вот такие команды на микротиках:

# 1 Маршрутизатор ДЦ

/ip ipsec policy add sa-src-address=172.16.254.1 sa-dst-address=172.16.254.2 action=encrypt
/ip ipsec peer add address=172.16.254.2 secret=eucdcag generate-policy=port-strict

# 2 Маршрутизатор Офис

/ip ipsec policy add sa-src-address=172.16.254.2 sa-dst-address=172.16.254.1 action=encrypt
/ip ipsec peer add address=172.16.254.1 secret=eucdcag generate-policy=port-strict

# На обоих

/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no
/ip firewall filter add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no

IPSec поднимается, наверно, по крайней мере в статистике не нули.

А что дальше?! Я так понимаю как-то надо отправить трафик через созданный IPSec туннель, но как - не понятно... Оперировать интерфейсами или адресами тут не получится... Или получится?!

Взываю коллектиный разум к помощи в просвещении меня скудоумного...

Answer 1

[Клёвый Админ]

Итак, поднимать вам нужно в транспортном, настройки будут такие
1. На обоих концах в пирах указываете белые внешние адреса противоположной стороны.
2. В полисях не туннельный режим, где у каждой стороны они выглядят так
/ip ipsec policy src-address=WHITE_IP_1/32 src-port=any dst-address=WHITE_IP_2/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=no sa-src-address=WHITE_IP_1
sa-dst-address=WHITE_IP_2 proposal=tunnel priority=1
и наоборот. Пропорсалы и пиры настраиваете просто симметрично, там ничего особенного.
Если всё правильно, то у вас продолжает работать IPIP туннель, а потом он просто становится шифрованным.

Т.е. ошибка у вас именно в полисях. Там вы сейчас внутри туннеля шифруете, а нужно снаружи.

Answer 2

[Максим Чорнопольский]

nixman.info/?p=2308