MikroTik EoIP over IPsec

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

MikroTik EoIP over IPsec

Непрочитанное сообщение strelokr » 2012-11-28 12:24:10

доброго времени суток.
дано две сети объеденных роутерами на базе mikrotik черех VPN тунели вот так

Код: Выделить всё

192.168.1.0/24 ->{192.168.1.252-1.1.1.1} <-->{1.1.1.2 <->192.168.4.254} <- 192.168.4.0/24
Хочется объединить все в одну сеть. Но не могу понять как правильно поднять ipsec в такой ситуации.

Код: Выделить всё

192.168.1.0/22 ->{192.168.1.252-1.1.1.1} <-->{1.1.1.2 <->192.168.3.254} <- 192.168.0.0/22

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

Re: MikroTik EoIP over IPsec

Непрочитанное сообщение strelokr » 2012-11-28 13:19:09

для локальной сети
Side A:
/ip ipsec policy
add src-address=1.1.1.1 src-port=any dst-address=1.1.1.2 dst-port=any \
sa-src-address=1.1.1.1 sa-dst-address=1.1.1.2 \
tunnel=no action=encrypt proposal=default

/interface eoip
add remote-address1.1.1.2 tunnel-id=1 name=eoip-tunnel1 disabled=no

Side B:
/ip ipsec policy
add src-address=1.1.1.2 src-port=any dst-address=1.1.1.1 dst-port=any \
sa-src-address=1.1.1.2 sa-dst-address=1.1.1.1 \
tunnel=no action=encrypt proposal=default

/interface eoip
add remote-address=1.1.1.1 tunnel-id=1 name=eoip-tunnel1 disabled=no

И еще
sideA
/interface bridge add
/interface bridge port add bridge=bridge1 interface=lan1
/interface bridge port add bridge=bridge1 interface= eoip-tunnel1
side b
/interface bridge add
/interface bridge port add bridge=bridge1 interface=lan1
/interface bridge port add bridge=bridge1 interface= eoip-tunnel1

strelokr
мл. сержант
Сообщения: 93
Зарегистрирован: 2011-01-11 15:17:14
Контактная информация:

Re: MikroTik EoIP over IPsec

Непрочитанное сообщение strelokr » 2013-01-17 12:44:58

это было не правильное описание. вот как нужно делать
Схема:
офисная сеть <-бридж-> EoIP-10.0.0.1 <=(IPSec)=> EoIP-10.0.0.2 <-бридж-> офисная сеть


Детали:

Микротик №1:
/interface eoip>
0 R name="office-trunk" mtu=1500 l2mtu=65535 mac-address=FE:24:BC:54:80:7C arp=enabled local-address=10.0.0.2 remote-address=10.0.0.1 tunnel-id=123

/ip ipsec peer>
0 X address=10.0.0.1/32 port=500 auth-method=pre-shared-key secret="xxxxx" generate-policy=no exchange-mode=main send-initial-contact=yes
nat-traversal=no my-id-user-fqdn="" proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
dpd-interval=2m dpd-maximum-failures=5

/ip ipsec policy>
0 X src-address=10.0.0.2/32 src-port=any dst-address=10.0.0.1/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=no
sa-src-address=10.0.0.2 sa-dst-address=10.0.0.1 proposal=default priority=0

Микротик №2:
/interface eoip>
0 R name="office-trunk" mtu=1500 l2mtu=65535 mac-address=FE:42:C3:C2:CA:B5
arp=enabled local-address=10.0.0.1 remote-address=10.0.0.2
tunnel-id=123

/ip ipsec peer>
0 X address=10.0.0.2/32 port=500 auth-method=pre-shared-key
secret="xxxxx" generate-policy=no exchange-mode=main
send-initial-contact=yes nat-traversal=no my-id-user-fqdn=""
proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des
dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m
dpd-maximum-failures=5

/ip ipsec policy>
0 X src-address=10.0.0.1/32 src-port=any dst-address=10.0.0.2/32 dst-port=any
protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=no
sa-src-address=10.0.0.1 sa-dst-address=10.0.0.2 proposal=default
priority=0