Возникла необходимость создать туннель IPSec+GRE между CISCO и Mikrotik, где CISCO — центральный офис, а Mikrotik — все филиалы, которых N-ое количество.
В интернете читал, что принцип "IPSec over GRE" позволяет передавать в незашифрованном GRE-туннеле зашифрованные данные IPSec, а "GRE over IPSec" позволяет инкапсулировать данные GRE заголовками ESP или AH (по-сути, незашифрованный GRE в зашифрованном IPSec).
Вопрос...
При какой из этих двух конфигураций, подсети всех филиалов смогут видеть друг друга? Например, пусть центральный офис имеет подсеть 10.10.10.0/24, а два филиала А и Б подсети 192.168.1.0/24 и 192.168.2.0/24 соответственно. При какой конфигурации из двух, указанных выше, эти две подсети (А и Б) смогут видеть друг друга и подсеть центрального офиса?
Насколько мне известно, "чистый" IPSec нельзя маршрутизировать. Т.е., NAT и правила фаерволла не применимы к пакетам IPSec.
как я понимаю GRE необходим только для динамической маршрутизации, если же у вас в сети везде статика, то проблем быть не должно , обычный канал ipsec вам подойдёт
Вбивание IPSec-секрета при настройке GRE-туннеля как раз даёт GRE over IPsec. Считаю это более правильным подходом, ибо нефиг провайдеру знать, какие туннели мы строим (хотя, да кому мы нужны )). При таком подходе летает чистый ESP. При любой из описанных Вами конфигураций, сети будут видеть друг друга при правильно настроенной маршрутизации. Считаю IPsec с интерфейсом гораздо более удобным и понятным, чем IPsec в туннельном режиме.
Очень много некорректных ответов тут я вижу. Только лишь правильный совет от Igorjan.
Да, вам нужен именно GRE over IPSec, только так у вас будут развязаны руки в плане маршрутизации по туннелям. И залог на будущее - сегодня вы на статической маршрутизации, а завтра вам может понадобится динамика, чтобы филиалы друг-друга видели, отказоустойчивость или что-нибудь ещё... Лучше быть готовым к любому расширению, чем в срочном порядке бросать всё и снова перенастраивать все туннели.
Т.е., в принципе, можно всё настраивать по статье linkmeup.ru/blog/50.html, где говорится про "GRE over IPSec" ?
Нашёл статью, где приводится пример "звёздной" топологии, как у меня. Но там не создаётся GRE, а всё делается чистым IPSec. Причем, приведённая в статье конфигурация позволяет обеспечить связь между "оконечными" маршрутизаторами (то бишь, региональными). Только там в качестве региональных используются Циски, а у меня Микротики. Прочтите, стоит ли делать по ней?
Белый статический IP есть на обеих сторонах, всё в порядке. Чистый IPSec не подходит. Потому что не позволяет маршрутизировать трафик так, чтобы подсети филиалов видели друг друга..
Работает конечно, выше под статикой понимали именно статические маршруты на всех точках сети. Конечно это накладней в настройке чем gre, но по опыту скажу, что gre в миркотике слегка тормознут если происходит перерасшаривание сети (например вы подсеть в филиале сменили).
З.Ы. имею поднятый канал ipsec для телефонии между циской и микротик и всё прекрасно видится с обоих сторон.
Ltonid: Нет.. Вы не совсем меня поняли... У меня другая проблема. Сейчас к Циске (Центральный офис) подсоединены 4 филиала. У филиалов Микротик. Все регионы соединяются с Центральным офисом по принципу "Звезды". Т.е., каждый Микротик имеет с Циской IPSec. Проблема в том, что регионы не видят друг друга. Например, подсеть в Самаре (192.168.1.0/24) не видит подсеть Екатеринбурга (192.168.2.0/24). Иными словами, компьютеры Екатеринбурга не пингуются из Самары, а компы Самары не пингуются из Екатеринбурга. Из регионов компы центрального офиса конечно же пингуются. И из центрального офиса компы регионов пингуются.. Как решается такая проблема?
Кирилл: если дефолт в регионах указан через центр, то да. Если нет, то в каждом филиале указывать статические маршруты через центр до других филиалов. Или поднимать на всех маршрутизаторах динамическую маршрутизацию.
Сложный
