Как правильно на Mikrotik с IPSEC+IKEv2 пустить опредленный порт в обход IKEv2?

Question

[Геннадий Чужинов]

Необходимо пустить 2 порта в обход IKEv2 (соединение IPsec+IKEv2 устанавливается микротом, белый список адресов не подходит), есть 2 UDP порта 41274(единичное соединение до узла) и 9993 их необходимо пустить в обход IPSEC, что лучше для этого выбрать mark connection или mark pakect и как правильно в mangle задать правило роутинга пакетов(mark routing) с узла локальной сети (узел локально сети, с которого и нужно пустить в обход IPSEC, 10.1.1.111(статика))
Динамическая политика IPSEC.
P.S. IPsec+IKEv2 не создает интерфейса, к сожалению другие варианты связи VPN не рассматриваю.

Answer 1

[korsar182]

IPSec имеет приоритет перед маршрутизацией.

/ip ipsec policy
add  action=none dst-address=0.0.0.0/0 dst-port=41274 src-address=0.0.0.0/0 place-before=1
add  action=none dst-address=0.0.0.0/0 dst-port=9993src-address=0.0.0.0/0 place-before=1

Comments

[Геннадий Чужинов]

IPSEC выделен через адресслист для одного устройства.
К сожалению, данные правила не сработали для используемых портов, после добавления данных правил в соединениях видно, что трафик идет через ipsec.

[korsar182]

VOLKINET, не совсем понятно, что значит IPSEC выделен через адресслист. Приведите экспорт конфигурации.

[Геннадий Чужинов]

korsar182, , наверно не так написал, только 1-но устройство ходит через IPSEC

[korsar182]

VOLKINET,
/ip ipsec export compact

[Геннадий Чужинов]

korsar182,

/ip ipsec mode-config
add name=NordVPN responder=no src-address-list=VPN
/ip ipsec peer
add address=de497.nordvpn.com exchange-mode=ike2 name=NordVPN497
add address=de540.nordvpn.com exchange-mode=ike2 name=NordVPN540
/ip ipsec policy group
add name=NordVPN
/ip ipsec profile
add enc-algorithm=aes-256,aes-128 name=NordVPN
/ip ipsec peer
add address=de664.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc name=NordVPN \
    pfs-group=none
/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=\
    port-strict mode-config=NordVPN peer=NordVPN540 policy-template-group=\
    NordVPN username=*****
/ip ipsec policy
set 0 disabled=yes
add action=none dst-address=0.0.0.0/0 dst-port=41274 src-address=0.0.0.0/0
add action=none dst-address=0.0.0.0/0 dst-port=9993 src-address=0.0.0.0/0
add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=\
    0.0.0.0/0 template=yes

Для порта 41274 у меня даже известен белый IP

[korsar182]

VOLKINET, политики у Вас генерируются динамически вставляются в начало списка, поэтому нужны такие правила:

/ip ipsec policy
add  action=none dst-address=0.0.0.0/0 dst-port=41274 src-address=0.0.0.0/0 protocol=udp place-before=0
add  action=none dst-address=0.0.0.0/0 dst-port=9993 src-address=0.0.0.0/0 protocol=udp place-before=0

[Геннадий Чужинов]

korsar182, а до известного IP можно такую же политику сделать, чтобы до каго то IP пускал все порты в обход впн, адрес указать в dst же? Допустим у меня есть впн с ip 175.164.88.42, мне надо пустить в обход ipsec ikev2 микротика

[korsar182]

VOLKINET, да, указываете политику аналогичным образом.

[Геннадий Чужинов]

korsar182, вот только уже с того ПК данный узел, указанный в политике ipsec, через порт не подключается приложение и не пингуется даже узел(если указать ip), выключаю данную политику и узел снова пингуется, но уже трафик идет череp ipsec