Страница 1 из 1

MikroTik EoIP over IPsec

Добавлено: 2012-11-28 12:24:10
strelokr
доброго времени суток.
дано две сети объеденных роутерами на базе mikrotik черех VPN тунели вот так

Код: Выделить всё

192.168.1.0/24 ->{192.168.1.252-1.1.1.1} <-->{1.1.1.2 <->192.168.4.254} <- 192.168.4.0/24
Хочется объединить все в одну сеть. Но не могу понять как правильно поднять ipsec в такой ситуации.

Код: Выделить всё

192.168.1.0/22 ->{192.168.1.252-1.1.1.1} <-->{1.1.1.2 <->192.168.3.254} <- 192.168.0.0/22

Re: MikroTik EoIP over IPsec

Добавлено: 2012-11-28 13:19:09
strelokr
для локальной сети
Side A:
/ip ipsec policy
add src-address=1.1.1.1 src-port=any dst-address=1.1.1.2 dst-port=any \
sa-src-address=1.1.1.1 sa-dst-address=1.1.1.2 \
tunnel=no action=encrypt proposal=default

/interface eoip
add remote-address1.1.1.2 tunnel-id=1 name=eoip-tunnel1 disabled=no

Side B:
/ip ipsec policy
add src-address=1.1.1.2 src-port=any dst-address=1.1.1.1 dst-port=any \
sa-src-address=1.1.1.2 sa-dst-address=1.1.1.1 \
tunnel=no action=encrypt proposal=default

/interface eoip
add remote-address=1.1.1.1 tunnel-id=1 name=eoip-tunnel1 disabled=no

И еще
sideA
/interface bridge add
/interface bridge port add bridge=bridge1 interface=lan1
/interface bridge port add bridge=bridge1 interface= eoip-tunnel1
side b
/interface bridge add
/interface bridge port add bridge=bridge1 interface=lan1
/interface bridge port add bridge=bridge1 interface= eoip-tunnel1

Re: MikroTik EoIP over IPsec

Добавлено: 2013-01-17 12:44:58
strelokr
это было не правильное описание. вот как нужно делать
Схема:
офисная сеть <-бридж-> EoIP-10.0.0.1 <=(IPSec)=> EoIP-10.0.0.2 <-бридж-> офисная сеть


Детали:

Микротик №1:
/interface eoip>
0 R name="office-trunk" mtu=1500 l2mtu=65535 mac-address=FE:24:BC:54:80:7C arp=enabled local-address=10.0.0.2 remote-address=10.0.0.1 tunnel-id=123

/ip ipsec peer>
0 X address=10.0.0.1/32 port=500 auth-method=pre-shared-key secret="xxxxx" generate-policy=no exchange-mode=main send-initial-contact=yes
nat-traversal=no my-id-user-fqdn="" proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
dpd-interval=2m dpd-maximum-failures=5

/ip ipsec policy>
0 X src-address=10.0.0.2/32 src-port=any dst-address=10.0.0.1/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=no
sa-src-address=10.0.0.2 sa-dst-address=10.0.0.1 proposal=default priority=0

Микротик №2:
/interface eoip>
0 R name="office-trunk" mtu=1500 l2mtu=65535 mac-address=FE:42:C3:C2:CA:B5
arp=enabled local-address=10.0.0.1 remote-address=10.0.0.2
tunnel-id=123

/ip ipsec peer>
0 X address=10.0.0.2/32 port=500 auth-method=pre-shared-key
secret="xxxxx" generate-policy=no exchange-mode=main
send-initial-contact=yes nat-traversal=no my-id-user-fqdn=""
proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des
dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m
dpd-maximum-failures=5

/ip ipsec policy>
0 X src-address=10.0.0.1/32 src-port=any dst-address=10.0.0.2/32 dst-port=any
protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=no
sa-src-address=10.0.0.1 sa-dst-address=10.0.0.2 proposal=default
priority=0