Gre over ipsec. Mikrotik usb4g белый ИП и mikrotik ether1 белый ИП?

Question

[user2k]

никак не получается зашифровать трафик vpn между двумя mikrotik
В офисе белый ип на интерфейсе ether1
в допе белый ип на usb 4g модеме, затем NAT и микротик.
gre туннели поднимаются без проблем, но как только включаю IPSEC в транспортном режиме, туннели отваливаются.
в usb модеме порты udp 500, 4500, 1701 проброшены на интерфейс микротика.
В пирах на обоих сторонах указываю белые адреса.
в политиках тоже белые адреса начала и конца шифрования.
опция nat-t на обоих концах.

Answer 1

[Александр Романов]

Используйте галочку Use IPsec в настройках GRE -- и будет вам щастье )

Comments

[user2k]

Вы наверное имели ввиду IPsec secret в настройках gre?

[Александр Романов]

Именно её

[Александр Романов]

Немного перепутал с l2tp

[user2k]

Александр Романов: а есть ли разница? ведь по сути это автоматическая настройка политик, которые я итак настроил руками. Хотя смотрю в пире добавляется localadress, проверим...

Answer 2

[Клёвый Админ]

Так, с

в допе белый ип на usb 4g модеме, затем NAT и микротик.

можно чуть подрбнее?
На втором роутере точно белый адрес? Если да - покажите политики и конфиги

Comments

[Александр Романов]

Да, пропустил этот момент. Где белый ип? На модеме или на МТ за модемом?

[Клёвый Админ]

Александр Романов: на самом тике, на том что находится за модемом, белый адрес?

[Александр Романов]

Клёвый Админ: Мне-то откуда знать? Ждём, пока автор ответит )

[Клёвый Админ]

Александр Романов: ааа, ссори =) я не заметил. Да, ждём. Важный момент в кейсе.

[user2k]

Клёвый Админ: на микротике, к которому подсоединен usb модем адрес белый только на модеме. Интерфейс микрота lte1 получает от модема адрес вида 192.168.1.2.

[Клёвый Админ]

user2k: Смотрите, вообще конечно GRE работает через NAT, но имхо это не очень рекомендуемо. Лучше используйте l2tp, особенно учитывая что у ас обе стороны MK. Ipsec там конфигурится так-же галочкой.

[user2k]

Клёвый Админ: l2tp сервер хотелось бы поднять в самую последнюю очередь. На данный момент уже прокинуто приличное кол-во gre over ipsec с остальных точек до офиса по основному каналу. (не модемному) Сдается мне где-то что-то я упускаю в настройках микрота...

[user2k]

Клёвый Админ: в общем, пока никак не удается поднять ipsec по вышеуказанной схеме. Возможно все дело в режиме модема, т.е. он фактически является роутером со своей маршрутизацие и натом. Можно перепрошить в режим stick, тогда соединение до сотового оператора придеться на страивать в микротике. Но пока такой возможности нет. я решил поэкспериментировать.

Поднял gre туннель не зашифрованный. Внутри него поднял IP туннель и навесил на него ipsec, все работает. Т.е. получился шифрованный туннель внутри не шифрованного. от сюда вопрос: на сколько такая VPN матрешка безопасна? =)