Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

GRE over IPSec не шифруется траффик

https://forummikrotik.ru/viewtopic.php?t=7914

Страница 1 из 1

GRE over IPSec не шифруется траффик

Добавлено: 30 авг 2017, 09:04
Zillah
Доброго времени суток, задача вроде бы простецкая.
Нужен "GRE over IPSec"(GRE инкапсулированный в IPSec|GRE шифрованный IPSec) тунель между удаленными офисами.

RTR1
Ext. IP1: A.A.A.A
Int. IP1: 10.54.11.1/24
GRE IP1: 192.168.2.1/30

RTR2
Ext. IP2: B.B.B.B
Int. IP2: 10.54.12.1/24
GRE IP2: 192.168.2.1/30

RTR1

Код: Выделить всё

/interface gre add
allow-fast-path=no local-address=A.A.A.A name=gre-tunnel-to-fab remote-address=B.B.B.B
/ip address add
address=192.168.2.1/30 interface=gre-tunnel-to-fab network=192.168.2.0

/ip route
add distance=1 gateway=A.A.A.A
add distance=1 dst-address=10.54.12.0/24 gateway=192.168.2.2

/ip ipsec peer add
address=B.B.B.B/32 comment="To FAB" dh-group=modp3072 enc-algorithm=aes-256 hash-algorithm=sha512 local-address=A.A.A.A \
    nat-traversal=no secret=xxx send-initial-contact=no

/ip ipsec policy add
dst-address=192.168.2.2/32 proposal=proposal-zmt sa-dst-address=B.B.B.B sa-src-address=A.A.A.A src-address=192.168.2.1/32 \
    tunnel=yes


На RTR2 симметрично, в итоге GRE туннель активный, PH2 State - established.
Пинг с RTR1 до RTR2 ходит (на внутренний IP роутеров), байтики у GRE туннеля в закладке интерфейсов тоже тикают,
НО, счетчик в закладке Installed SAs на нуле, т.е. траффик не шифруется... :du_ma_et:

Подскажите чего я не так сделал? :smu:sche_nie:

UPD Забыл добавить, если пинговать не локальный адрес шлюза(10.54.11.1, 10.54.12.1),
а любой другой из этой подсети(например 10.54.11.2) то счетчик "Current Bytes" в закладке "Installed SAs" начинает тикать...

Re: GRE over IPSec не шифруется траффик

Добавлено: 30 авг 2017, 11:47
carassin
если у вас ext-ip белые/внешние адреса, то зачем вам gre ? или они не белые ? а впрочем это не важно.. роутеры же у вас видят друг друга ? зачем тогда впихивать ещё и gre ?

Re: GRE over IPSec не шифруется траффик

Добавлено: 30 авг 2017, 11:59
Zillah
carassin писал(а):если у вас ext-ip белые/внешние адреса, то зачем вам gre ? или они не белые ? а впрочем это не важно.. роутеры же у вас видят друг друга ? зачем тогда впихивать ещё и gre ?

Не понял вопроса... :nez-nayu:
Или нынче принято "голышом" гонять трафик между удаленными офисами через интернет?
И как "серые" будут маршрутизироваться в интернете?

PS мне нужна динамическая маршрутизация и мультикаст

Re: GRE over IPSec не шифруется траффик

Добавлено: 30 авг 2017, 12:22
Vlad-2
carassin писал(а):если у вас ext-ip белые/внешние адреса, то зачем вам gre ? или они не белые ? а впрочем это не важно.. роутеры же у вас видят друг друга ? зачем тогда впихивать ещё и gre ?

Вы очень не правы. GRE может работать и на белых и на серых айпи. И это используется, и также использую и я.
И удобно то, что подняв GRE можно и связь сделать, и маршруты описать и многое ещё чего.
Поэтому не совсем до-понимаю Вас, почему Вы так удивлены когда используют GRE на внешке/серых адресах?


Автору топика
Zillah писал(а):

Попробуйте сначала просто поднять "чистый" GRE, потом если всё ок, внутри настроек GRE задать IPSec (установив пароль),
не прибегая к меню IPSec'а в целом. От частного к общему.
Ну и также надо проверить MTU, мож в этом загвоздка.
У меня есть пару туннелей, которые могут подняться спустя минут 7-15....(это туннели на больших расстояниях).

Re: GRE over IPSec не шифруется траффик

Добавлено: 30 авг 2017, 12:39
carassin
Zillah писал(а):И как "серые" будут маршрутизироваться в интернете?


да легко, если у вас один и тот же провайдер , хотя это уже не интернет, но вы же уточнили...

Vlad-2 писал(а):GRE может работать и на белых и на серых айпи. Поэтому не совсем до-понимаю Вас, почему Вы так удивлены когда используют GRE на внешке/серых адресах?


:sh_ok: дык, я вообще не про это, и не удивлен я...

Re: GRE over IPSec не шифруется траффик

Добавлено: 30 авг 2017, 13:03
Zillah
Vlad-2 писал(а):Попробуйте сначала просто поднять "чистый" GRE, потом если всё ок, внутри настроек GRE задать IPSec (установив пароль),
не прибегая к меню IPSec'а в целом. От частного к общему.
Ну и также надо проверить MTU, мож в этом загвоздка.
У меня есть пару туннелей, которые могут подняться спустя минут 7-15....(это туннели на больших расстояниях).


1) угу, начинал с чистого GRE
2) решил сразу "по правильному" настраивать IPSec, увидев комментарий к этому способу: "параметры IPSec никак не изменить"
3) MTU автоматом выставленный у GRE интерфейса: 1476, может и стоит по совету "кошек" поставить 1400, посмотрю.

Насчет пинга локального IP рутера, знакомый тут сказал что с рутера оно "не успевает" зашифроваться, т.к. улетает раньше чем попадет под полиси, потому что для рутера с которого я пингую, этот IP что-то типа next hop, т.е. "вот он тут прям", не знаю как объяснить научно. :smu:sche_nie:
На кошках такая же ситуация... вот это и хотелось бы понять, а то где-то очень далеко "понимаю", а вот уверенного понимая нет... :-(
т.е. как я понимаю:
OFFICE1(10.54.11.0/24)<-->RTR1(LocaIP: 10.54.11.1)<===(GRE over IPSec)===>RTR2(LocaIP: 10.54.12.1)<-->OFFICE2(10.54.12.0/24)

если я с RTR1 пингую 10.54.12.1, пинги ходят, но не шифруются
если я с RTR1 пингую 10.54.12.(не 1), пинги ходят, но уже шифруются

а вот почему? :nez-nayu:

ЗЫ И еще я решил "психануть" почитав рекомендации по выбору auth/encriptions methods:
PH1
auth: sha512
encr: aes256
DH: modp 3072
lifetime: 1d

PH2
auth: sha256
encr: aes128-gsm
DH: modp 1024
lifetime: 1h (думаю потом до 12h увеличить)

интересны ваши комментарии, понятно что "нафига так накручивать", но "советуют же" зачем-то.
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB