MikroTik + Cisco GRE over IPsec

Обсуждение ПО и его настройки
Ответить
AlwaysWannNymon
Сообщения: 2
Зарегистрирован: 11 сен 2024, 13:58

Всем добрый день!
Просьба помочь с поднятием туннеля между Mikrotik и Cisco.
GRE туннель поднялся, IPsec тоже поднимается, но попасть по маршруту на сервер не удается.
Самое интересное, что со стороны Cisco инженеры могут подключиться на мой сервер, к ним же я не могу.
Сразу назревает вопрос про Firewall со стороны Cisco, но проблема в том, что с IPsec особо не работал и боюсь за не прожатую галку в настройках, которая не маршрутизирует трафик.
Схема туннеля:
Изображение
 Настройки со стороны Mikrotik
/interface gre
add allow-fast-path=no mtu=1400 name=gre-XXX remote-address=2.2.2.2
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-128,3des \
hash-algorithm=md5 name=XXX
/ip ipsec peer
add address=2.2.2.2/32 name=XXX profile=XXX
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=\
aes-256-cbc,aes-256-gcm,aes-192-cbc,aes-128-cbc,3des name=XXX pfs-group=\
none
/ip ipsec identity
add peer=XXX secret=XXXXXXXXXXXXXXXXXXXX
/ip ipsec policy
add dst-address=2.2.2.2/32 peer=H&N proposal=XXX src-address=\
1.1.1.1/32 tunnel=yes
/ip address
add address=10.108.251.40/30 comment="XXX VPN" interface=gre-XXX network=\
10.108.251.40
add address=10.108.254.16/23 comment="XXX RDP" interface=ether2 network=\
10.108.254.0
/ip pool
add name=pool_XXX ranges=10.108.254.17-10.108.254.30
Active Peers Mikrotik:
Изображение
 Настройки скинутые инженерами Cisco
Тип тоннеля VTI IPSEC или GRE over IPSEC

Tunnel IP:
10.108.251.42/30 (на вашей стороне)

Peer IP:
2.2.2.2

Crypto:
PSK – сообщим позже

ISAKMP v1:
encr 3des
hash md5
authentication pre-share
group 2

IPSEC:
Encryption: esp-3des
Hash: esp-md5-hmac
PFS: group 2

Как опция security-association replay window-size 1024


Аватара пользователя
aleksandr.rusin
Сообщения: 26
Зарегистрирован: 06 авг 2018, 15:33
Откуда: Moscow
Контактная информация:

судя по вашейй конфигурации Вы не исключили из NAT трафик между локальными сетями внутри ipcec


Малое знание опасно , впрочем как и большое.
AlwaysWannNymon
Сообщения: 2
Зарегистрирован: 11 сен 2024, 13:58

Добрый день!
Огромная благодарность за ответ, сразу нашел нужные настройки на хабре. Всегда забываю про маскарады и NAT.
Оставлю тут настройки, если у кого-то возникнет такая же беда.

Переходим на вкладку NAT.

Нужно сделать исключения для наших подсетей, чтобы они не улетали в обычный NAT маскарадинг.

Chain: srcnat

Advanced - Src. Address List: Mikrotik_networks

Advanced - Dst. Address List: FTD_networks

Action: accept

Как и в правилах фильтрации, нужно сделать 2 правила, поменяв во втором местами Source и Destination. А так же, поднять эти правила выше правила masquerade.


Аватара пользователя
aleksandr.rusin
Сообщения: 26
Зарегистрирован: 06 авг 2018, 15:33
Откуда: Moscow
Контактная информация:

это , очень частая ошибка , потому как в IPSEC в отличии от остальных тоннелей нет шлюза, а трафик заворачивается только правилами (ACL) , вот и забывают, так как привыкают, что маскарад и нат нацеливается на интерфейс , и когда интерфейс у тоннеля другой трафик и не попадает под него автоматом, а с ipsec так не прокатывает.
я просто изначально цисковик и больше работал с кошаками и ipsec изначально и привык сразу исключать траффик для всех тоннелей из нат , даже не смотря что это gre или какой другой
а если не секрет , поему gre с ipsec почему не чистый ipsec? ведь у gre есть одна бяка называемая обрезкой ttl


Малое знание опасно , впрочем как и большое.
Ответить