Доступ в подсеть за роутером-клиентом IKEv2?

Question

[GeorgeKoro]

Имею в офисе роутер на ROS7 с поднятым «IKEv2-сервером», к которому подключаются удаленные клиенты.

Аутентификация происходит через RADIUS по логину/паролю, пользователи получают IP, которые для них прописаны в атрибутах RADIUS.

Фактически, всё настроено как в этом разделе вики MikroTik: тут
Ну или в этом гайде: https://habr.com/ru/articles/721062/
IPsec policy настроена как template, для шифрования трафика в туннеле.

Условно, роутер имеет некий статический внешний IP, и подсеть для VPN-клиентов 192.168.88.0/24.

Клиенты получают IP из этой подсети, имеют доступ к внутренним ресурсам, всё работает хорошо.

Возникла задача:
Один из VPN-клиентов, тоже роутер на ROS7, с присвоенным ему адресом, допустим, 192.168.88.11, имеет динамический внешний IP и внутреннюю подсеть за собой, допустим, 192.168.11.0/24. Другим VPN-клиентам и хостам, непосредственно подключенным к основному роутеру нужно получить в неё доступ.

Как на основном роутере-сервере IKEv2 создать маршрут до подсети за роутером-клиентом?

Условно говоря, нужен маршрут на подсеть 192.168.11.0/24 с gateway 192.168.88.11. Как это реализуется средствами IPsec?



На текущий момент решается костылем - на клиенте 192.168.88.11 прокинуты порты через NAT на внутренние адреса, но часть инфраструктуры так не работает. На всё порты не прокинешь, да и хотелось бы разобраться с правильным подходом, обеспечить прямой доступ в подсеть.

Comments

[BjLomax]

в протокол IKEv2 встроен механизм обмена маршрутами.
недавно на циске так делал, через ikev2 authorization policy

Answer 1

[Юрий MikroTik]

Соединить 2 микрота другим протоколом, затем прокинуть маршруты.

Comments

[GeorgeKoro]

Ну это очевидный вариант, но, ради собственного развития, хотелось бы проверить возможность обеспечить доступ, оставаясь в рамках туннелей IKEv2.

[Юрий MikroTik]

GeorgeKoro,соединение голым IPsec - лишать себя нормальной маршрутизации

[GeorgeKoro]

Да, но ведь IKEv2, будто-бы и был придуман для того, чтобы проблему маршрутизации решать, посредством взаимного сообщения устройствами тех подсетей, к которым предоставляется доступ абоненту.

[Юрий MikroTik]

GeorgeKoro, придуман чтобы маршруты клиентам пушить. Для ptp туннеля он совершенно не годится.

[yourfatherinlaw]

Юрий MikroTik, (чтобы сэкономить время и не задавать новый вопрос) правильно понимаю, что до самих ikev2 клиентов я тоже недостучусь? или это можно разрулить

[Юрий MikroTik]

yourfatherinlaw, только по назначенным IP клиентам

Answer 2

[Кот Абсолютный]

Как на основном роутере-сервере IKEv2 создать маршрут до подсети за роутером-клиентом?

Гуглить "туннель сеть-сеть". Единственное что мне тут непонятно - как обеспечить связь шаблона политики (который сработает при подклоючении роутера) и собственно политики, которая и должна будет обьяснить микротику "все пакеты в такую-то сеть паковать в ESP и отправлять туда-то".
При статической адресации это труда не составляет.

Comments

[GeorgeKoro]

Да, в этом и загвоздка.
Может, реально как-нибудь заставить "клиента" отправлять "серверу" маршруты за собой?
Вроде, IKEv2 в своем классическом виде это поддерживает, наверное, и микрот как-то должен уметь.