Ответы пользователя по тегу GRE
  • Возможно ли настроить VPN Tunnel на Windows?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Здесь таки не лекторий, читать лекции о настройках VPN. Спросите у гугла, он знает все.
    Ответ написан
  • VPN-подключение: динамический маршрут, корп. DNS | GRE-туннель?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Для туннеля с конторой постоянный туннель, если этого требует работа - админа, например, есть не опция, а фактически необходимость, причем, туннель, который вяжется именно с роутером (железкой), а не с программным сервером на виртуалке (потому что хост, держащий виртуалку может банально лежать).
    Не знаю, как насчет GRE - но вот IPSec запросто подымается в режиме так называемого roadwarrior, когда "свой" IP вообще может быть неизвестен заранее, знаешь только IP шлюза.
    С виндой у меня правда так не получалось. Микротики так вязал, линуха и андроид.
    Ответ написан
  • Как настроить 2х Mikrotik ipsec в разных филиалах?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    На самом деле дока по IPSec у микротика довольно бестолковая - например того, что хэш SHA256 не работает ни с чем кроме другого микротика, там не отражено.
    Подьем туннелей на IPSec - имеется в виду "чистный" IPSec, а не L2TP/IPSec - их обычно путают состоит из нескольких этапов.
    1. Создание "предложения" на каждом микротике - это такой корявый перевод термина proposal. В proposal указываются методы шифрования, хэши и группы Диффи-Хеллмана, которые могу применяться при согласовании параметров. Крайне важно, чтобы оба микротика нашли хотя бы один общий алгоритм шифрования и хэш, и чтобы группы Диффи-Хеллмана совпадали! Здесь же указывается время жизни второй фазы, после чего будет повторный "быстрый" обмен ключами.
    2. Создание политики на каждом микротике, которая определяет, что собственно говоря будет шифроваться и что с этим шифрованным контентом делать. Здесь указываются виртуальные маршрутизируемые подсетки, адреса реальных концов туннеля, метод шифрования, используемый proposal
    3. Создание удаленного подключения (peer), которое задает многое множество параметров. Здесь указывается IP и порт удаленной стороны, метод аутентификации, метод первичного обмена ключами - базовый или агрессивный, необходимость NAT Travesal (если один из микротиков за натом), проверку proposal, алгоритмы хэша и шифрования, группы Диффи-Хеллмана, время жизни первой фазы, необходимость DPD. Если аутентификация по сертификатам - указывают имена сертификатов, которые должны быть к этому времени уже импортированы. Если аутентификация по ключам - указывают значение ключа.

    Если устройство само не инициирует установление туннеля, ставится флаг пассивности, иначе сразу после создания Peer-а, микротик начинает к нему долбиться. Если что-то не так - включите логирование. В микротике используется racoon, поэтому лог там ракуновский, strongswan-а нет, поддержки IKEv2 нет.
    Ответ написан
  • Как обойти блокировку VPN?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Нет. Против лома нет приема. Только уход с GRE на OpenVPN/IPSec.
    Это к сожалению тенденция - многие "супер-провайдеры" начали в последнее время блокировать GRE, а также порт 1723, мотивируя это разными нелепыми причинами. МТС, например, в ответ на вопрос "Почему заблокирован порт 1723" бормочет что-то про повышенную нагрузку на оборудование. Причем, если купить у них услугу белого IP, повышенная нагрузка чудесным образом испаряется...
    Ответ написан