@brar

Site-to-Server IKEv2 IPsec?

Дебиан, в качестве впн-сервера. Strongswan. Фиксированный белый адрес.
ipsec.conf

config setup
uniqueids=no

conn ikev2-vpn-mikrotik
auto=add
authby = ecdsasig
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=120s
rekey=no
left=%any
leftid2=%bla_address
leftcert=server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightsourceip=10.10.10.0/24
rightsendcert=never

ipsec.secrets

: RSA "server-key.pem"

Микрот, в качестве клиента. Серый динамический адрес, за натом провайдера.
ip ipsec export

/ip ipsec mode-config
add name=ike2-rw responder=no
/ip ipsec policy group
add name=ike2-rw
/ip ipsec profile
set [ find default=yes ] dh-group=modp4096,modp2048,modp1024
add name=ike2-rw
/ip ipsec peer
add address=SERVER_ADDRESS/32 exchange-mode=ike2 name=ike2-rw-client profile=ike2-rw
/ip ipsec proposal
add name=ike2-rw pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=server-cert.pem_0 generate-policy=port-strict mode-config=ike2-rw peer=ike2-rw-client \
policy-template-group=ike2-rw
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-rw proposal=ike2-rw src-address=0.0.0.0/0 template=yes

Впн между ними поднимается. Микротику присваивается айпиадрес 10.10.10.1 на ether1 (wan).

Небольшое отступление: В принципе, для андроида тоже сделал настройку в ipsec.conf через EAP. Все работает, весь трафик с телефона уходит через через ВПН.

Делаю точно такие же настройки на втором микротике (те же серт, ключ и ca). Он получает тот же айпиадрес 10.10.10.1. Оба микротика поочередно начинают "выбивать" друг друга с сервера.

И второй вопрос по этой схеме: как теперь связать локальные подсети за микротиками без прибегания к ppp? Учитывая, что "Маршрутизация при использовании IPsec "в чистом виде" не может быть использована, т. к. IPsec не создает виртуальный интерфейс, которому может быть назначен IP-адрес и добавлена запись в таблицу маршрутизации" (с).
  • Вопрос задан
  • 441 просмотр
Решения вопроса 1
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Для IPSec не нужна маршрутизация. Основа IPSec - SPD (Security Policy Database) и SAD (Security Associations Database). SPD строится на основе политик, которые Вы сами задаете (в микротике) или строит шван (в линухе). SAD строится автоматически на основе соединений с пирами.
Достаточно нормально описать политики - и микротик сам разберется куда ему отправлять пакеты. Единственный момент - пакеты проходят netfilter дважды - в зашифрованном виде и в расшифрованном. И он должен разрешать их в обеих случаях.
Есть отличная картинка показывающая полный путь пакетов, в том числе и места, где они шифруются/расшифровываются (xfrm encode/xfrm decode). Я думаю, стоит на нее поглядеть - и сразу станет понятно, почему в IPSec не нужна маршрутизация.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы