Задать вопрос

localsnet

Лайки

  • Mikrotik IPsec: белый IP ---- серый IP?

    vasilevkirill
    @vasilevkirill
    Сертифицированный тренер MikroTik TR0417
    сделайте шаблоны полиси и не партесь,
    на микротике где белый IP, ставите адрес пира 0.0.0.0/0, пассивный режим, включаете НАТ-Т, и включаете генерацию политик.
    с другой стороны прописываете все необходимые политики, используя свой локальный адрес, и это политики с генерируются на серверной части

    быстренько поднял лабу, завелось с пол оборота, как пример вам
    Public IP
    /ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 generate-policy=port-strict local-address=1.1.1.2 passive=yes policy-template-group=gre secret=12345!
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-Null src-address=192.168.254.0/24 template=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-aes128 src-address=192.168.255.0/24 template=yes


    Private IP
    /ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=1.1.1.2/32 local-address=10.10.10.2 policy-template-group=gre secret=12345!
/ip ipsec policy
add dst-address=192.168.254.1/32 level=unique proposal=Pr-Null sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2  src-address=192.168.254.2/32 tunnel=yes
add dst-address=192.168.255.1/32 level=unique proposal=Pr-aes128 sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2 src-address=192.168.255.2/32 tunnel=yes
    Ответ написан
    1 комментарий
    1 комментарий

  • Mikrotik IPsec: белый IP ---- серый IP?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

    1. При формировании политик нужно указывать серые IP.
    2. Шифрование SHA256 работает только при линке двух микротиков между собой.

    Пример настройки:
    (микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

    Cо стороны микротика с серым IP
    /ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes


    Cо стороны микротика с белым IP:
    /ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes


    Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку
    Ответ написан
    1 комментарий
    1 комментарий