Про хостинг Простая реализация IPIP через IPSec в Mikrotik (comp.inet.q123456789) : Рассылка : Subscribe.Ru

Подписаться Бесплатная новостная рассылка Подписчиков 3 RSS

← Октябрь 2014 →
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

За последние 60 дней ни разу не выходила

Сайт рассылки: http://prohosting.pw
Открыта: 21-11-2013

Автор

info@vmcloud.su

Статистика

3 подписчиков
0 за неделю

← Все выпуски →

Про хостинг Простая реализация IPIP через IPSec в Mikrotik

Ниже рассмотрена простая реализация IPIP туннеля через IPSec в Mikrotik RouterOS.

Для понимания сформулирую задачу.

Имеем роутер Mikrotik, который расположен в Дата Центре. Данный роутер подключен к сети ДЦ и имеет ip 77.77.77.77.

В офисе также стоит роутер Mikrotik, который подключен к провайдеру и имеет ip 88.88.88.88. За роутером располагается серая сеть офиса.

Задача следующая, через IPIP туннель, обернутый IPSec-ом, прогнать трафик до роутрера в ДЦ и разрешить тем самым клиентам в офисе выходить в интернет используя канал ДЦ.

Реализация данного решения ниже.

1 Маршрутизатор

/interface ipip add name=ipip1 local-address=192.168.1.1 remote-address=192.168.1.2 disabled=no 
/ip address add address=192.168.5.1/24 interface=tunnel1 disabled=no
/ip ipsec policy add src-address=148.251.155.57 src-port=any dst-address=87.228.65.171 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=148.251.155.57 sa-dst-address=87.228.65.171 proposal=default priority=1
/ip ipsec peer add address=87.228.65.171 secret=eucdcag generate-policy=port-strict

2 Маршрутизатор

/interface ipip add name=tunnel1 local-address=192.168.1.2 remote-address=192.168.1.1 disabled=no 
/ip address add address=192.168.5.2/24 interface=tunnel1 disabled=no
/ip ipsec policy add src-address=87.228.65.171 src-port=any dst-address=148.251.155.57 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=87.228.65.171 sa-dst-address=148.251.155.57 proposal=default priority=1
/ip ipsec peer add address=148.251.155.57 secret=eucdcag generate-policy=port-strict

На обоих

/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no 
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment="Allow IPSec-esp" disabled=no 
/ip firewall filter add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no
/ip firewall mangle add chain=postrouting action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface=ipip1

Проверка

/ip ipsec statistics print

Дальше уже оперируем с трафиком, маршрутами, маркировкой пакетов, не забываем про NAT.

Здесь можно оставить свои комментарии. Выпуск подготовленплагином wordpress для subscribe.ru

В избранное