@bruges

IKEv2 split-include?

Mikrotik, являющийся шлюзом для локалки 192.168.0.0/24, с настроенным и работающим IKEv2 по сертификатам для подключающихся извне сотрудников. Всё работает.

Конфигурация IPSEC
/ip ipsec mode-config
add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf split-dns=192.168.0.1 split-include=192.168.0.0/24 system-dns=no

/ip ipsec policy group
add name=ike2-policies

/ip ipsec profile
add dh-group=ecp521,modp2048,modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=ike2

/ip ipsec peer
add exchange-mode=ike2 name=ike2 passive=yes profile=ike2

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des add enc-algorithms=aes-256-cbc name=ike2 pfs-group=none

/ip ipsec identity
add auth-method=digital-signature certificate=vpn.server generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies

/ip ipsec policy
add dst-address=192.168.77.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes


Появилась необходимость добавить внутрь тоннеля подсеть видеонаблюдения 192.168.40.0/29 находящуюся в отдельном VLAN.

Сделал split-include=192.168.0.0/24,192.168.40.0/29 - клиенты не видят 192.168.40.0/29

Меняем местами split-include=192.168.40.0/29,192.168.0.0/24 - клиенты видят 192.168.40.0/29, но не видят 0.0/24. Получается на клиенте не работает split-include. Здесь тот же вопрос по сути, но без решения.
  • Вопрос задан
  • 120 просмотров
Пригласить эксперта
Ответы на вопрос 1
@brar
На практике не встречал, но вспомнил, что было в мануале что-то на этот счет. Вот:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Kno...

И ранее в мануале есть такое, как вариант избежать этой проблемы:
"While it is possible to adjust IPsec policy template to only allow road warrior clients to generate policies to network configured by split-include parameter, this can cause compatibility issues with different vendor implementations (see known limitations). Instead of adjusting the policy template, allow access to secured network in IP/Firewall/Filter and drop everything else.
/ip firewall filter
add action=drop chain=forward src-address=192.168.77.0/24 dst-address=!10.5.8.0/24
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы