@glmonarch
Системный администратор

IPSec или L2TP IPSec?

Всем добрый вечер! Коллеги, когда для построения туннеля нужно использовать связку L2TP IPsec, а когда достаточно только IPSec?
Например, что лучше использовать в ситуации когда нужно объединить два офиса (с двух сторон Mikrotik) и почему?
  • Вопрос задан
  • 13786 просмотров
Решения вопроса 2
sizaik
@sizaik
сисадмин, Витебск
Если у вас только два офиса и в каждом только один провайдер, можно и IPSec в туннельном режиме.
Но я бы делал GRE-туннель с заворачиванием трафика в IPSec. Бонусы - прозрачная маршрутизация в одной таблице (в политики можно не смотреть), возможность подключения динамической маршрутизации, возможность построения отказоустойчивой структуры.
Например, если у вас в одном из офисов два провайдера, у вас будет два туннеля. Если один из провайдеров сломается, протокол динамической маршрутизации направит трафик в резервный туннель. В результате у вас будет отказоустойчивый канал между офисами с практически незаметным переключением при отказе.
На чистых туннелях IPSec такое сделать непросто, если вообще возможно.
А если у вас будет три офиса, это вообще маст хэв :)

Вот пример конфига.

router 1:
---создаем GRE-туннель
/interface gre
add !keepalive local-address=***router 1 WAN IP*** name=gre1 remote-address=***router 2 WAN IP***

--- и ip-адрес к нему
/ip address
add address=10.10.10.1/30 interface=gre1 network=10.10.10.0/30

---(политика согласования IKE у меня сделана на сертификатах, у вас может быть на pre-shared key - это каждый выбирает для себя; главное, чтобы с обеих сторон было одинаково)
/ip ipsec peer
add address=***router 2 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
local-address=***router 1 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

--- политика шифрования трафика GRE от нас в удаленный офис
/ip ipsec policy
set 0 disabled=yes
add dst-address=***router 2 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 2 WAN IP*** sa-src-address=***router 1 WAN IP*** src-address=\
***router 1 WAN IP***/32

--- и прописываем статический маршрут в удаленную сеть
/ip route add distance=1 dst-address=***подсеть второго офиса*** gateway=10.10.10.2

---Еще может понадобиться сделать правило firewall для обмена трафиком GRE между офисами:
/ip firewall filter
add chain=input comment="GRE from other office" dst-address=***router 1 WAN IP*** src-address=***router 2 WAN IP*** protocol=gre

router 2 - настройки отображаются зеркально:

/interface gre
add !keepalive local-address=***router 2 WAN IP*** name=gre1 remote-address=***router 1 WAN IP***

/ip address
add address=10.10.10.2/30 interface=gre1 network=10.10.10.0/30

/ip ipsec peer
add address=***router 1 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
local-address=***router 2 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

/ip ipsec policy
set 0 disabled=yes
add dst-address=***router 1 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 1 WAN IP*** sa-src-address=***router 2 WAN IP*** src-address=\
***router 2 WAN IP***/32

/ip route add distance=1 dst-address=***подсеть первого офиса*** gateway=10.10.10.1

/ip firewall filter
add chain=input comment="GRE from other office" dst-address=***router 2 WAN IP*** src-address=***router 1 WAN IP*** protocol=gre
Ответ написан
@alegzz
если нужно объединить офисы, то проще IPSec. L2TP использует транспортный режим работы IPSec, то есть для объединения сетей не очень подходит.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы