Сабж.
Входные: имеется GRE туннель, настроенный одной стороной на Linux Server, другой - на микротик. Оно работает, пакеты туда-сюда бегают, и все нормально. Один минус - это голый GRE без шифрования. Это плохо.
В Mikrotik есть опция GRE "IPSec secrets", т.е. это GRE over IPSec, т.е. инкапсуляция GRE внутри IPSec туннеля. По понятной причине оно не работает для иностранного сервера, т.е. IPSec туннель не устанавливается.
Вопрос с шифрованием сейчас решен на клиентской машине, т.е. включаем отдельный VPN уже внутри GRE туннеля (любой, по желанию). Это работает, но неудобно то, что VPN надо отдельно включать, хотелось бы автоматом в самом микротике, чтобы через правила маршрутизации отдельные хосты в сети были сразу в туннеле с VPN с шифрованием.
Поэтому вопрос - есть ли возможность реализовать подключение IPSec over GRE на самом микротике? Т.е. чтобы IPSec туннель инкапсулировался внутри GRE, а не наоборот? Ну или если не IPSec, а какой то иной способ туннелирования из списка тех, что поддерживает микротик? Т.е. иными словами, чтобы микротик был клиентом в туннеле с того же хоста, который на той стороне GRE (или любого другого).
а проблема то в чём? вместо вас надо найти мануалы по настройке IPSec туннелей для микротика или что? IPSec через GRE настраивается точно так-же как и IPSec без GRE.
Как я не бился с настройками IPSec, так пока и не получилось ничего. Там проблема с сертификатами (они для IP и для домена, т.е. для внутренних IP внутри GRE они не подходят), пытаюсь настроить через PSK, проблема с настройкой left и right в конфиге, непонятно с выбором протоколов шифрования (какие то почему то не работают), еще кое какие. Пока решил вопрос через SSTP клиента на Mikrotik, ему всего то надо было поменять IP на внутренний из той подсети, которая выделена для GRE. И все заработало. Но я буду всеравно разбираться, т.к. во 1-х буду делать второй туннель для резервного сервера, а во 2-х SSTP на Mikrotik сильно грузит процессор, IPSec в этом плане конечно предпочтительнее. Так что у кого был опыт настройки - буду признателен.
PS: Разобрался. В настройках StrongSwan на сервере указываем IP левой и правой части GRE туннеля, DNS настройки убираем (они почему то мешают ресолвингу через DNS сервера если пушить DNS маршруты), пришлось также пощаманить с IKE и ESP протоколами, ну и на микротике с адресами, чтобы маршрутизация работала. И fasttrack отключить.
В общем пока оно работает, сейчас тестирую.
Если начать с самого начала - то причина в том, что однажды печенеги напали на половцев. Или наоборот. Не суть важно, а смысл в том, что с того момента все пошло по пи...
ky0, у РТК нет. Если бы это было иначе я бы тут не затеял все эти упражнения. Да и мне как то пофигу на причину. Хотя это странно, IPSec порезали чуть ли не из первых, так что это просто чудо, что все у вас работает.
Простой
Средний
