@brar

Правильна ли такая настройка IPSec?

Настроил по статье.
Вот конфиг оттуда.
/interface ipip
add !keepalive local-address=62.105.149.228 mtu=1450 name=Tunnel1 remote-address=90.154.106.114
/ip address
add address=192.168.252.38/30 interface=Tunnel1 network=192.168.252.36
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc
add enc-algorithms=aes-256-cbc name=AES-256
/ip ipsec peer
add address=90.154.106.114/32 enc-algorithm=aes-256 nat-traversal=no secret=OstecGPkey
/ip ipsec policy
add dst-address=90.154.106.114/32 proposal=AES-256 protocol=ipencap sa-dst-address=90.154.106.114 sa-src-address=62.105.149.228 src-address=62.105.149.228/32
/routing ospf network
add area=backbone network=192.168.252.36/30
add area=backbone network=192.168.88.0/24

Туннель и IPSec работает. Всё отлично.
Но терзают сомнения. Зачем в ipsec policy указаны внешние адреса, а не локальные подсети обоих концов?
Также, если настроить IPSec непосредственно в настройках IPIP-туннеля, то скорость между хостами выше на 30%, нежели по вышеуказанным настройкам, то есть вытекает вопрос, касательно ресурсопотребления такой настройки. (Возможно, дело в том, что при динамическом ipsec используется aes-128.)
И с такой настройкой (через OSPF) будет проще добавлять другие подсети в инфраструктуру, насколько я понимаю?
  • Вопрос задан
  • 178 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы