Ответы пользователя по тегу GRE
  • Как присоединить филиал к главной сети через VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Можно ли задать адрес локальной сети в филиале 192.168.1.0?

    Можно. Но не нужно. Единственная известная мне причина, когда сеть настоятельно пытаются растянуть на L2 - это наличие софта с артефактами, например поиска компьютера сугубо по Netbios-имени (которое не работает ни через что, а работает только в пределах L2-сети). Попытка упростить себе администрирование приведет к его фантастическому усложнению.

    Обычная схема построения VPN - это центр, к которому подключаются удаленные узлы. Маршрутизацию осуществляет центр. У центра своя подсеть, у узлов своя - у каждого узла своя. dhcp раздается узлом (теоретически dhcp можно пробрасывать с помощью dhcp realy, но при этом заметно страдает надежность - упал туннель - в филиале пропала сеть). Локальный DNS раздается центром, хотя при приличной нагрузке на узле обычно на узел ставят подчиненный сервер, на котором подымают дубли сервисов - dns, ad и прочее - чтобы не бегали юзера за аутентификацией на каждый чих в центр.
    Ответ написан
    3 комментария
  • Ubuntu MikroTik GRE почему при неактивности падает тунель?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Хм. С таким дебильным поведением сталкивался когда работал с racoon. Ради этого пришлось в nagios вкорячить "сервис", который постоянно пинал узлы, причем было именно так, как описано - туннель подымался только при пинге с одной стороны :D

    Может быть таймауты какие-нибудь или аналоги IPSec-овского dead peer detection?
    Ответ написан
    Комментировать
  • Возможно ли настроить VPN Tunnel на Windows?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Здесь таки не лекторий, читать лекции о настройках VPN. Спросите у гугла, он знает все.
    Ответ написан
  • VPN-подключение: динамический маршрут, корп. DNS | GRE-туннель?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Для туннеля с конторой постоянный туннель, если этого требует работа - админа, например, есть не опция, а фактически необходимость, причем, туннель, который вяжется именно с роутером (железкой), а не с программным сервером на виртуалке (потому что хост, держащий виртуалку может банально лежать).
    Не знаю, как насчет GRE - но вот IPSec запросто подымается в режиме так называемого roadwarrior, когда "свой" IP вообще может быть неизвестен заранее, знаешь только IP шлюза.
    С виндой у меня правда так не получалось. Микротики так вязал, линуха и андроид.
    Ответ написан
    Комментировать
  • Как настроить 2х Mikrotik ipsec в разных филиалах?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    На самом деле дока по IPSec у микротика довольно бестолковая - например того, что хэш SHA256 не работает ни с чем кроме другого микротика, там не отражено.
    Подьем туннелей на IPSec - имеется в виду "чистный" IPSec, а не L2TP/IPSec - их обычно путают состоит из нескольких этапов.
    1. Создание "предложения" на каждом микротике - это такой корявый перевод термина proposal. В proposal указываются методы шифрования, хэши и группы Диффи-Хеллмана, которые могу применяться при согласовании параметров. Крайне важно, чтобы оба микротика нашли хотя бы один общий алгоритм шифрования и хэш, и чтобы группы Диффи-Хеллмана совпадали! Здесь же указывается время жизни второй фазы, после чего будет повторный "быстрый" обмен ключами.
    2. Создание политики на каждом микротике, которая определяет, что собственно говоря будет шифроваться и что с этим шифрованным контентом делать. Здесь указываются виртуальные маршрутизируемые подсетки, адреса реальных концов туннеля, метод шифрования, используемый proposal
    3. Создание удаленного подключения (peer), которое задает многое множество параметров. Здесь указывается IP и порт удаленной стороны, метод аутентификации, метод первичного обмена ключами - базовый или агрессивный, необходимость NAT Travesal (если один из микротиков за натом), проверку proposal, алгоритмы хэша и шифрования, группы Диффи-Хеллмана, время жизни первой фазы, необходимость DPD. Если аутентификация по сертификатам - указывают имена сертификатов, которые должны быть к этому времени уже импортированы. Если аутентификация по ключам - указывают значение ключа.

    Если устройство само не инициирует установление туннеля, ставится флаг пассивности, иначе сразу после создания Peer-а, микротик начинает к нему долбиться. Если что-то не так - включите логирование. В микротике используется racoon, поэтому лог там ракуновский, strongswan-а нет, поддержки IKEv2 нет.
    Ответ написан
    Комментировать
  • Как обойти блокировку VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Нет. Против лома нет приема. Только уход с GRE на OpenVPN/IPSec.
    Это к сожалению тенденция - многие "супер-провайдеры" начали в последнее время блокировать GRE, а также порт 1723, мотивируя это разными нелепыми причинами. МТС, например, в ответ на вопрос "Почему заблокирован порт 1723" бормочет что-то про повышенную нагрузку на оборудование. Причем, если купить у них услугу белого IP, повышенная нагрузка чудесным образом испаряется...
    Ответ написан
    Комментировать