Cisco mikrotik ipsec: Mikrotik + IPSec + Cisco = Мир, Дружба, Жвачка / Хабр
Mikrotik + IPSec + Cisco = Мир, Дружба, Жвачка / Хабр
Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.
Ньюансы
- последняя версия софта на микроте (5.20)
- тип тоннеля на циске IPIP
- тип трансформы «transport», вместо «tunnel»
Исходные данные
- Cisco 2821 (OS v12.4)
- 2. Mikrotik RB450G
- 3. Реальные внешние IP на обоих устройствах
- 4. Адрес циски: 77.77.77.226. Подсеть со стороны циски: 10.192.0.0/22
- 5. Адрес микротика: 88.88.88.2. Подсеть со стороны микротика: 192.168.88.0/24
Предыстория
Столкнулся по работе с необходимостью замены серверов в наших филиалах, на что-нибудь более надёжное, аппаратное.
Связь у нас с центральным офисом осуществляется через тонели с шифрованием ipsec. В центральном офисе у нас, собственно всё на кошкообразных построено, а в большинстве филиалов стоят обычные сервера под FreeBSD, которые цепляются тонелями, с помощью racoon.
Встала задача, в связи с устареванием, выходом из строя самих серверов, начать устанавливать простые, недорогие аппаратные решения.
Братья по-разуму, коллеги и форумы натолкнули меня на изделия Mikrotik, и сразу же я направил к ним письмо следующего содержания:
Добрый день. Подскажите, если не трудно подходящию модель микротика, для следующих целей: nat-роутер, поддержка ipsec-тунелей с несколькими цисками 28хх, нагрузка до 100мбит, поддержка ospf. Желательно, но не обязательно "POE" Заранее спасибо.
Ответ пришёл неожиданно, очень быстро, в течении одного дня:
Здравствуйте, Владимир
Спасибо за интерес к нашей компании и продукции Mikrotik.
В зависимости от пропусной способности, можем предложить Вам
- Маршрутизатор RB/MRTG (miniROUTERG) 4531
- Маршрутизатор RB1100AHx2 16915
Таблицы производительности по ссылкам:
http://routerboard.com/RB450G
http://routerboard.com/RB1100AHx2
Пример настройки связки
http://wiki.mikrotik.com/wiki/IPSec_VPN_with_Dynamic_Routing_/_Mikrotik_and_Cisco
Я сразу остановил свой выбор на «RB450G». Заказали, привезли.
Сразу скажу, по вышеуказанной ссылке настроить не удалось. Данные там устаревшие, некоторые параметры в версии 5.20 просто отсутствуют.
Порылся по форумам, почитал статьи примерно такого содержания:
betep.wpl.ru/2009/02/wiki-mikrotik.html
netandyou.ru/17 — кстати интересная, но рассматривается пример ipsec в gre-тоннеле, а в моём случае тип тонеля ipip, и режим работы crypto ipsec transform-set на циске не «Tunnel», а «Transport». Впрочем тоже не получилось.
Так же перерыл ещё кучу материалов на форумах, добился, чтобы проходило соединение, шифрование включалось, но ничего не работало, пакеты отказывались бегать по тоннелю, как я не старался их к этому принудить.
Два потерянных дня и побудили меня написать на хабр, возможно кому-то эти строки помогут в работе.
В итоге, всё оказалось банально и очень просто.
Я акцентрировал своё внимание на настройках политик IPSec в микротике, и похоже это было ошибкой 🙂
После вдумчивого изучения материала, который мне действительно помог:
wiki.mikrotik.com/wiki/Manual:IP/IPsec#Transport_mode_2 — от сюда и ниже на пару-тройку страниц
и
wiki.mikrotik.com/wiki/Manual:Interface/IPIP — тут просто основы, но на-всякий случай.
Я просто убрал все политики (к слову — они были правильно настроены, судя по динамическим, создавшимся позже), и просто установил галочку автогенерации политик. Что успешно и проделала циска с микротиком после соединения.
Все настройки (консольные и аналогичные графические) привожу ниже.
Cisco:
! Политика авторизации - хеш мд5 и шифрование 3des по парольному ключу (pre-share)
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
! group2 означает, что в микротике надо установить dh-group=modp1024
group 2
! Сам ключ
crypto isakmp key MyPassWord address 88.88.88.2 no-xauth
crypto isakmp keepalive 30
! Трансформ. Внимание! Используется transport, а не tunnel режим
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
mode transport
crypto dynamic-map dynmap 10
set transform-set transform-2
reverse-route
crypto map vpnmap client configuration address respond
crypto map vpnmap 5 ipsec-isakmp dynamic dynmap
crypto map vpnmap 10 ipsec-isakmp
! криптомапа микротика
crypto map vpnmap 93 ipsec-isakmp
description Mikrotik_Local
! ip микротика
set peer 88.88.88.2
set security-association lifetime seconds 86400
set transform-set transform-2
! pfs group2 означает, что в микротике надо установить dh-group=modp1024
set pfs group2
! access-лист, разрешающий соединение
match address 137
! Сам тоннель
interface Tunnel93
description tunnel_Mikrotik
ip unnumbered GigabitEthernet0/1
! Цискин адрес
tunnel source 77.77.77.226
! Адрес микрота
tunnel destination 88.88.88.2
! тип тонеля ipip
tunnel mode ipip
! Наружный интерфейс
interface GigabitEthernet0/1
description Internet
ip address 77.77.77.226 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip virtual-reassembly
ip route-cache policy
no ip mroute-cache
duplex auto
speed auto
no mop enabled
! ВКЛЮЧАЕМ ШИФРОВАНИЕ НА ИНТЕРФЕЙСЕ
crypto map vpnmap
! Роутинг сети, находящейся за микротиком
ip route 192.168.88.0 255.255.255.0 Tunnel93
! Разрешение на соединение тоннеля
access-list 137 permit ip host 77.77.77.226 host 88.88.88.2
Микротик:
/interface ipip
add disabled=no dscp=0 local-address=88.88.88.2 mtu=1260 name=ipip1 \
remote-address=77.77.77.226
add address=192.168.88.1/24 comment="default configuration" disabled=no \
interface=ether2-master-local network=192.168.88.0
add address=88.88.88.2/30 disabled=no interface=ether1-gateway network=\
62.5.248.248
add add-default-route=yes comment="default configuration" \
default-route-distance=1 disabled=no interface=ether1-gateway \
use-peer-dns=yes use-peer-ntp=yes
/ip ipsec peer
add address=77.77.77.226/32 auth-method=pre-shared-key dh-group=modp1024 \
disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des \
exchange-mode=main generate-policy=yes hash-algorithm=md5 lifebytes=0 \
lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=\
obey secret=MyPassWord send-initial-contact=yes
/ip route
add comment="Default routing" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=88.88.88.1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.192.0.0/22 gateway=ipip1 scope=30 \
target-scope=10
/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no
add action=accept chain=output disabled=no
/system logging
add action=memory disabled=no prefix="" topics=ipsec
Если кто-то настраивает через микротиковский GUI «Winbox», аналогичная настройка:
1. Интерфейсы-IP Tunnel. Добавить:
2. В разделе IP-IPSec-Proposals в дефолтном правиле ОБЯЗАТЕЛЬНО сменить SHA1 на MD5!
3. IP-IPSec-Peers. Добавить:
После этого, если циска уже настроена, то должна поднятся сессия:
И автоматически сгенерируются политики:
4. IP-Routes. Добавить:
После этого можно заглянуть обратно в IP-IPSec, закладка Instaled SAs, и вы должны увидеть, что байтики бегут по тунелю в обе стороны:
Надеюсь этот материал сэкономит кому-нибудь время и нервы.
Mikrotik + IPSec + Cisco. Часть 2. Тоннель на «сером» IP / Хабр
В продолжение к посту.
В прошлый раз я рассматривал соединение, когда со стороны циски и микрота были реальные IP’ы.
Здесь рассмотрю пример «серого реальника», т.е серый IP, который провайдер маскирует у себя под внешний с безусловной переадресацией (binat).
Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.
Ньюансы
на циске внешний IP, а на микротике серый, который маскируется провайдером под внешний, с безусловной переадресацией (обращения к этому внешнику из интернета редиректятся на интерфейсный, серый «IP»).
Схема:
Исходные данные
- Cisco 2821 (OS v12.4)
- 2. Mikrotik RB450G
- 3. Реальные внешние IP на обоих устройствах
- 4. Адрес циски: 77.77.77.226. Подсеть со стороны циски: 10.192.0.0/22
- 5. Адрес микротика: 99.99.99.2. Подсеть со стороны микротика: 192.168.100.0/24
- 6. Серый адрес микротика на внешнем интерфейсе: 172.16.99.2.
Предыстория
При подключении нового филиала обнаружил, что провайдер (единственный местный) вместо внешнего IP выдал мне «серый».
На моё законное возмущение, что по договору нам должны дать внешний адрес — провайдер ответил, что внешний для нас сделан средствами nat’а, и все обращения из интернета на этот внешник редиректятся на наш «серый» ip, и по другому они ничего сделать не могут.
На этом наш разговор окончился, и я стал настраивать тоннель. Тоннель не завёлся 🙂
Ситуация неоднозначная. С одной стороны вроде и внешник, который на деле выглядит «серым», но и NAT-T использовать смысла нет
Около часа я мучал микротик с циской, в результате получилась странная, но работоспособная конструкция (кстати попробовал её повторить на racoon под freebsd — не взлетело).
Что получилось в итоге
На циске создал тунель, в котором указал серый ip микротика в destination.
Все настройки (консольные и аналогичные графические) привожу ниже.
Cisco:
! Политика авторизации - хеш мд5 и шифрование 3des по парольному ключу (pre-share)
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
! group2 означает, что в микротике надо установить dh-group=modp1024
group 2
! Сам ключ
crypto isakmp key MyPassWord address 99.99.99.2 no-xauth
crypto isakmp keepalive 30
! Трансформ. Внимание! Используется transport, а не tunnel режим
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
mode transport
crypto dynamic-map dynmap 10
set transform-set transform-2
reverse-route
crypto map vpnmap client configuration address respond
crypto map vpnmap 5 ipsec-isakmp dynamic dynmap
crypto map vpnmap 10 ipsec-isakmp
! криптомапа микротика
crypto map vpnmap 95 ipsec-isakmp
description polyanka
! ip микротика
set peer 99.99.99.2
set security-association lifetime seconds 86400
set transform-set transform-2
! pfs group2 означает, что в микротике надо установить dh-group=modp1024
set pfs group2
! access-лист, разрешающий соединение
match address 136
! Сам тоннель
interface Tunnel95
description tunnel_NewMikrotik
ip unnumbered GigabitEthernet0/1
! Цискин адрес
tunnel source 77.77.77.226
! Адрес микрота.
! ВНИМАНИЕ - АДРЕС СЕРЫЙ. Если указывать белый - соединение не устанавливается...
! Точнее устанавливается, но работать отказывается и рвёт связь.
tunnel destination 172.16.99.2
tunnel mode ipip
interface GigabitEthernet0/1
description Internet
ip address 77.77.77.226 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip virtual-reassembly
ip route-cache policy
no ip mroute-cache
duplex auto
speed auto
no mop enabled
! ВКЛЮЧАЕМ ШИФРОВАНИЕ НА ИНТЕРФЕЙСЕ
crypto map vpnmap
! Роутинг сети, находящейся за микротиком
ip route 192.168.100.0 255.255.255.0 Tunnel95
! Разрешение на соединение тоннеля
access-list 136 permit ip host 77.77.77.226 host 99.99.99.2
access-list 136 permit ip host 77.77.77.226 host 172.16.99.2
Микротик:
/interface ipip
add comment="Office tunnel" disabled=no dscp=0 local-address=172.16.99.2 \
mtu=1260 name=Cisco-VPN remote-address=77.77.77.226
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 disabled=no enc-algorithms=3des \
lifetime=30m name=default pfs-group=modp1024
/ip ipsec peer
add address=77.77.77.226/32 auth-method=pre-shared-key dh-group=modp1024 \
disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des \
exchange-mode=main generate-policy=yes hash-algorithm=md5 lifebytes=0 \
lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=\
obey secret=MyPassWord send-initial-contact=yes
/ip route
add disabled=no distance=1 dst-address=10.192.0.0/22 gateway=Cisco-VPN scope=30 \
target-scope=10
/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no
add action=accept chain=output disabled=no
Этот же конфиг, глазами WinBox:
1. Интерфейсы-IP Tunnel. Добавить:
2. В разделе IP-IPSec-Proposals в дефолтном правиле ОБЯЗАТЕЛЬНО сменить SHA1 на MD5, т.к в рассматриваемом примере используется MD5.
3. IP-IPSec-Peers. Добавить:
4. IP-Routes. Добавить:
Надеюсь, материал был полезен.
Site-to-Site IPSec VPN между Cisco и Mikrotik
Не смотря на то, что статей в этих ваших интернетах море я все равно внесу немного энтропии и напишу еще одну.
Я всегда с осторожностью отношусь к хвалебным отзывам и хайпу на форумах, особенно когда дело касается железки стоимостью 60$. Как оказалось, делаю я это совсем не зря. Mikrotik не подвел и порадовал таким набором фееричных багов, что пару раз белому мерзавцу грозила неминуемая смерть.
Стабильной работы удалось добиться с следующими параметрами:
Phase1&2: шифрование: aes 128, аутентификация, md5, DH group 2 на прошивке 5.19
Если вы наблюдаете печальную картину того, как разваливается управляющее соединения первой фазы, SA второй фазы остаюся активными, а трафик перестает ходить, то пора нервничать поиграйте с параметрами соединения, временем жизни SA, а так же версией прошивки. Если и это не помогает, то по поисковому запросу mikrotik flush SA на официальных форумах есть несколько рецептов того, как с помощью костылей в виде скрипта, крона и какой-то матери проблему эту если и не решить, то уж точно нивелировать.
Собственно настройки:
За маршрутизатором Cisco существуют две подсети 192.168.0.0/23 и 172.16.20.0/24, к которым не плохо было бы иметь доступ. Mikrotik расположен за динамическим NAT’ом и локальная подсеть предствалена 172.16.100.0/24
! связка ключей для микротика crypto keyring mikrotik pre-shared-key address 0.0.0.0 0.0.0.0 key derkey ! политики первой фазы crypto isakmp policy 10 encr aes hash md5 authentication pre-share group 2 ! профиль crypto isakmp profile mikrotik-profile keyring mikrotik match identity address 0.0.0.0 no keepalive ! политики второй фазы crypto ipsec transform-set ESP-AES-MD5 esp-aes esp-md5-hmac ! криптокарта crypto dynamic-map dyn-cmap 2000 set transform-set ESP-AES-MD5 set isakmp-profile mikrotik-profile reverse-route ! связываем динамическую карту с статической crypto map stat-cmap 100 ipsec-isakmp dynamic dyn-cmap ! применяем ее на интерфейсе interface gi0/0 crypto map stat-cmap
По желанию на криптокарту можно привязать ACL.
На стороне микротика добавляем соседа (фаза 1), не забыв включить NAT-T:
/ip ipsec peer add address=xx.xx.xx.xx/32 auth-method=pre-shared-key comment=remote-peer dh-group=modp1024 disabled=no dpd-interval=5s dpd-maximum-failures=10 enc-algorithm=aes-128 \ exchange-mode=aggressive generate-policy=no hash-algorithm=md5 lifebytes=0 lifetime=1h my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=obey secret=\ derkey send-initial-contact=yes
Добавляем transorm set (proposal):
/ip ipsec proposal add auth-algorithms=md5 disabled=no enc-algorithms=aes-128 lifetime=1h name=tset1 pfs-group=none
И в политиках описываем интересующий нас траффик:
/ip ipsec policy add action=encrypt comment="servers vlan" disabled=no dst-address=172.16.20.0/24 dst-port=any ipsec-protocols=esp level=unique priority=1 proposal=tset protocol=all \ sa-dst-address=xx.xx.xx.xx sa-src-address=0.0.0.0 src-address=172.16.100.0/24 src-port=any tunnel=yes add action=encrypt comment="generic subnet" disabled=no dst-address=192.168.0.0/23 dst-port=any ipsec-protocols=esp level=unique priority=0 proposal=tset protocol=all \ sa-dst-address=xx.xx.xx.xx sa-src-address=0.0.0.0 src-address=172.16.100.0/24 src-port=any tunnel=yes
Обратите внимение на опцию level=unique. Она заставит маршрутизатор установить еще одну пару SA если вы направите траффик в сеть, для которой их еще не существует.
Ну и добавим исключения для NAT:
/ip firewall nat add action=accept chain=srcnat disabled=no dst-address=192.168.0.0/23 src-address=172.16.100.0/24 place-before 0 add action=accept chain=srcnat disabled=no dst-address=172.16.20.0/24 src-address=172.16.100.0/24 place-before 0
Easy as that.
VPN между Cisco ASA 5510 и Mikrotik RB951Ui-2HnD
Для обеспечения связи мобильных групп с центральным офисом, можно использовать недорогие маршрутизаторы Mikrotik, которые имеют порт USB, с возможностью подключения 3G/4G модема, и поддержку IPSec.
Настройка Cisco ASA
Создадим объекты, описывающие наши сети:object-group network CORP_NETS
network-object 10.0.0.0 255.255.255.0
object-group network REMOTE_NETS
network-object 10.0.100.0 255.255.255.0
Разрешаем доступ из локальной сети на удаленные объекты:access-list inside_access_in extended permit ip object-group CORP_NETS object-group REMOTE_NETS
Исключим из NAT трафик локальной сети к микротикам:nat (inside,outside) source static CORP_NETS CORP_NETS destination static REMOTE_NETS REMOTE_NETS no-proxy-arp route-lookup
Добавим ACL, который будет критерием заворачивания трафика в VPN-туннель:access-list MIKROT_ACL extended permit ip object-group CORP_NETS object-group REMOTE_NETS
Добавляем трансформ-сет:crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
Т.к. со стороны микротиков планируется использовать мобильные подключения (3G-модемы, спутниковые терминалы и прочие «где придётся»), создаём динамическую крипто-карту, привязываем к ней трансформ-сет и указываем ACL:crypto dynamic-map MIKROT_MAP 1 match address MIKROT_ACL
crypto dynamic-map MIKROT_MAP 1 set ikev1 transform-set ESP-AES-256-SHA
Применяем карту к интерфейсу:crypto map outside_map 1 ipsec-isakmp dynamic MIKROT_MAP
crypto map outside_map interface outside
Добавим политику IKEv1:crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
Групповая политика:group-policy MIKROT_GP internal
group-policy MIKROT_GP attributes
dns-server value 10.0.0.2 10.0.1.2
vpn-tunnel-protocol ikev1
default-domain value mydomain.ru
Туннельная группа:tunnel-group MIKROT_TG type ipsec-l2l
tunnel-group MIKROT_TG general-attributes
default-group-policy MIKROT_GP
tunnel-group MIKROT_TG ipsec-attributes
ikev1 pre-shared-key MY_STRONG_PSK
На этом настройка ASA закончена.
Настройка Mikrotik
Предположим, есть Mikrotik с настроенным интернетом. Заходим на маршрутизатор по SSH и вводим настройки.
Настроим алгоритмы шифрования и хеширования:/ip ipsec proposal
add auth-algorithms=sha1 enc-algorithms=aes-256-cbc name=corp pfs-group=none
Добавим политику шифрования (100.100.100.100 — адрес внешнего интерфейса ASA):/ip ipsec policy
add dst-address=10.0.0.0/24 level=unique proposal=corp sa-dst-address=\
100.100.100.100 sa-src-address=0.0.0.0 src-address=10.0.100.0/24 tunnel=yes
Создаём пир. В качестве id задаём имя туннельной группы — MIKROT_TG./ip ipsec peer
add address=100.100.100.100/32 enc-algorithm=aes-256 \
exchange-mode=aggressive local-address=0.0.0.0 my-id=user-fqdn:MIKROT_TG \
secret="MY_STRONG_PSK" send-initial-contact=no
Чтобы трафик, адресованный в Интернет, ходил мимо туннеля, добавим исключение из NAT:/ip firewall nat
add chain=srcnat dst-address=10.0.0.0/16
На этом всё. Если что-то не работает — включаем дебаг на асе и читаем.
Mikrotik + IPSec + Cisco. Часть 2. Тоннель на «сером» IP
В продолжение к посту.
В прошлый раз я рассматривал соединение, когда со стороны циски и микрота были реальные IP’ы.
Здесь рассмотрю пример «серого реальника», т.е серый IP, который провайдер маскирует у себя под внешний с безусловной переадресацией (binat).
Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.
Ньюансы
на циске внешний IP, а на микротике серый, который маскируется провайдером под внешний, с безусловной переадресацией (обращения к этому внешнику из интернета редиректятся на интерфейсный, серый «IP»).
Схема:
Исходные данные
- Cisco 2821 (OS v12.4)
- 2. Mikrotik RB450G
- 3. Реальные внешние IP на обоих устройствах
- 4. Адрес циски: 77.77.77.226. Подсеть со стороны циски: 10.192.0.0/22
- 5. Адрес микротика: 99.99.99.2. Подсеть со стороны микротика: 192.168.100.0/24
- 6. Серый адрес микротика на внешнем интерфейсе: 172.16.99.2.
Предыстория
При подключении нового филиала обнаружил, что провайдер (единственный местный) вместо внешнего IP выдал мне «серый».
На моё законное возмущение, что по договору нам должны дать внешний адрес — провайдер ответил, что внешний для нас сделан средствами nat’а, и все обращения из интернета на этот внешник редиректятся на наш «серый» ip, и по другому они ничего сделать не могут.
На этом наш разговор окончился, и я стал настраивать тоннель. Тоннель не завёлся 🙂
Ситуация неоднозначная. С одной стороны вроде и внешник, который на деле выглядит «серым», но и NAT-T использовать смысла нет
Около часа я мучал микротик с циской, в результате получилась странная, но работоспособная конструкция (кстати попробовал её повторить на racoon под freebsd — не взлетело).
Что получилось в итоге
На циске создал тунель, в котором указал серый ip микротика в destination.
Все настройки (консольные и аналогичные графические) привожу ниже.
Cisco:
! Политика авторизации - хеш мд5 и шифрование 3des по парольному ключу (pre-share)
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
! group2 означает, что в микротике надо установить dh-group=modp1024
group 2
! Сам ключ
crypto isakmp key MyPassWord address 99.99.99.2 no-xauth
crypto isakmp keepalive 30
! Трансформ. Внимание! Используется transport, а не tunnel режим
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
mode transport
crypto dynamic-map dynmap 10
set transform-set transform-2
reverse-route
crypto map vpnmap client configuration address respond
crypto map vpnmap 5 ipsec-isakmp dynamic dynmap
crypto map vpnmap 10 ipsec-isakmp
! криптомапа микротика
crypto map vpnmap 95 ipsec-isakmp
description polyanka
! ip микротика
set peer 99.99.99.2
set security-association lifetime seconds 86400
set transform-set transform-2
! pfs group2 означает, что в микротике надо установить dh-group=modp1024
set pfs group2
! access-лист, разрешающий соединение
match address 136
! Сам тоннель
interface Tunnel95
description tunnel_NewMikrotik
ip unnumbered GigabitEthernet0/1
! Цискин адрес
tunnel source 77.77.77.226
! Адрес микрота.
! ВНИМАНИЕ - АДРЕС СЕРЫЙ. Если указывать белый - соединение не устанавливается...
! Точнее устанавливается, но работать отказывается и рвёт связь.
tunnel destination 172.16.99.2
tunnel mode ipip
interface GigabitEthernet0/1
description Internet
ip address 77.77.77.226 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip virtual-reassembly
ip route-cache policy
no ip mroute-cache
duplex auto
speed auto
no mop enabled
! ВКЛЮЧАЕМ ШИФРОВАНИЕ НА ИНТЕРФЕЙСЕ
crypto map vpnmap
! Роутинг сети, находящейся за микротиком
ip route 192.168.100.0 255.255.255.0 Tunnel95
! Разрешение на соединение тоннеля
access-list 136 permit ip host 77.77.77.226 host 99.99.99.2
access-list 136 permit ip host 77.77.77.226 host 172.16.99.2
Микротик:
/interface ipip
add comment="Office tunnel" disabled=no dscp=0 local-address=172.16.99.2
mtu=1260 name=Cisco-VPN remote-address=77.77.77.226
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 disabled=no enc-algorithms=3des
lifetime=30m name=default pfs-group=modp1024
/ip ipsec peer
add address=77.77.77.226/32 auth-method=pre-shared-key dh-group=modp1024
disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des
exchange-mode=main generate-policy=yes hash-algorithm=md5 lifebytes=0
lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=
obey secret=MyPassWord send-initial-contact=yes
/ip route
add disabled=no distance=1 dst-address=10.192.0.0/22 gateway=Cisco-VPN scope=30
target-scope=10
/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no
add action=accept chain=output disabled=no
Этот же конфиг, глазами WinBox:
1. Интерфейсы-IP Tunnel. Добавить:
2. В разделе IP-IPSec-Proposals в дефолтном правиле ОБЯЗАТЕЛЬНО сменить SHA1 на MD5, т.к в рассматриваемом примере используется MD5.
3. IP-IPSec-Peers. Добавить:
4. IP-Routes. Добавить:
Надеюсь, материал был полезен.
Автор: vladadm
Cisco-Mikrotik IP-IP. Туннель с Микротиком с белым IP. « Blog of Khlebalin Dmitriy
Cisco-Mikrotik IP-IP. Туннель с Микротиком с белым IP.
Наконец дошли руки посмотреть интеграцию с Cisco. GRE_ipsec за NAT так и не заработал, решили посмотреть схему IP_ipsec (IP-IP).
Для понимания процесса читаем здесь: http://xgu.ru/wiki/Cisco_IOS_Site-to-Site_VPN
До сего момента я никогда ранее не пробовал строить такие туннели, наткнулся вот на этот пост и решил попробовать:
https://habr.com/ru/post/151951/
Спасибо автору, за понятный, а главное, рабочий вариант.
Набросал вот такую схему в GNS3.
Сначала попробую настроить туннель с Микротиком с белым IP, затем с Микротиком за NAT.
Настроим Cisco.
Cisco_head(config-if)#ip address 77.77.77.226 255.255.255.0
Cisco_head(config-if)#no shutdown
Cisco_head(config-if)#
*Mar 1 00:12:08.019: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar 1 00:12:09.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Cisco_head(config)#exit
Cisco_head#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco_head(config)#interface fastEthernet 0/1
Cisco_head(config-if)#ip address 10.192.0.1 255.255.252.0
Cisco_head(config-if)#no shutdown
Cisco_head(config-if)#exit
Cisco_head(config)#
*Mar 1 00:16:26.039: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar 1 00:16:27.039: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Cisco_head(config)#exit
Cisco_head#
*Mar 1 00:16:32.151: %SYS-5-CONFIG_I: Configured from console by console
Cisco_head#wr
Пропишем статический маршрут в нашу сеть филиала:
Cisco_head(config)#ip route 88.88.88.0 255.255.255.0 fastEthernet 0/0
Добавим в конфиг:
! Политика авторизации — хеш мд5 и шифрование 3des по парольному ключу (pre-share)
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
! group2 означает, что в микротике надо установить dh-group=modp1024
group 2
! Сам ключ
crypto isakmp key MyPassWord address 88.88.88.2 no-xauth
crypto isakmp keepalive 30
! Трансформ. Внимание! Используется transport, а не tunnel режим
crypto ipsec transform—set transform-2 esp-3des esp—md5-hmac
mode transport
crypto dynamic-map dynmap 10
set transform-set transform-2
reverse-route
crypto map vpnmap client configuration address respond
crypto map vpnmap 5 ipsec-isakmp dynamic dynmap
crypto map vpnmap 10 ipsec-isakmp
! криптомапа микротика
crypto map vpnmap 93 ipsec—isakmp
description Mikrotik_Local
! ip микротика
set peer 88.88.88.2
set security-association lifetime seconds 86400
set transform-set transform-2
! pfs group2 означает, что в микротике надо установить dh-group=modp1024
set pfs group2
! access-лист, разрешающий соединение
match address 137
! Сам тоннель (здесь указываем наш внешний интерфейс)
interface Tunnel93
description tunnel_Mikrotik
ip unnumbered FastEthernet0/0
! Цискин адрес
tunnel source 77.77.77.226
! Адрес микрота
tunnel destination 88.88.88.2
! тип тонеля ipip
tunnel mode ipip
! Наружный интерфейс
interface FastEthernet0/0
description Internet
ip address 77.77.77.226 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip virtual-reassembly
ip route-cache policy
no ip mroute-cache
duplex auto
speed auto
no mop enabled
! ВКЛЮЧАЕМ ШИФРОВАНИЕ НА ИНТЕРФЕЙСЕ
crypto map vpnmap
! Роутинг сети, находящейся за микротиком
ip route 192.168.88.0 255.255.255.0 Tunnel93
! Разрешение на соединение тоннеля
access-list 137 permit ip host 77.77.77.226 host 88.88.88.2
Зададим MTU:
https://habr.com/ru/post/226807/
Cisco_head#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco_head(config)#interface tunnel93
Cisco_head(config-if)#mtu 1460
% Interface Tunnel93 does not support adjustable maximum datagram size
Cisco_head(config-if)#exit
Cisco_head(config)#exit
Cisco_head#
*Mar 1 02:12:54.603: %SYS-5-CONFIG_I: Configured from console by console
Cisco_head#wr
Зададим IP на туннельном интерфейсе:
Cisco_head#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco_head(config)#interface tunnel93
Cisco_head(config-if)#ip address 10.33.0.1 255.255.255.0
Cisco_head(config-if)#no shutdown
Cisco_head(config-if)#exit
Cisco_head(config)#exit
Cisco_head#
*Mar 1 02:27:29.947: %SYS-5-CONFIG_I: Configured from console by console
Cisco_head#wr
! Роутинг сети, находящейся за микротиком сразу поправим на IP нашего туннельного интерфейса.
no ip route 192.168.88.0 255.255.255.0 Tunnel93
ip route 192.168.88.0 255.255.255.0 10.33.0.1
Со стороны Микрота (бранч).
Здесь же сразу пропишем руками статический маршрут в Головной офис:
Интерфейсы-IP Tunnel. Добавить:
На циске MTU выставили 1460, здесь соответственно выставляем тоже самое.
В разделе IP-IPSec-Proposals в дефолтном правиле ОБЯЗАТЕЛЬНО сменить SHA1 на MD5!
IP-IPSec-Peers. Добавить:
В Profiles правим:
Профиль в предыдущем шаге у нас выбран дефолтный, соответственно здесь правим дефолтный.
Все настройки должны быть согласованы с циской на другой стороне:
Если это так, то должна подняться сессия:
И автоматически сгенерируются политики:
IP-Routes. Добавим:
Для более детального логирования добавим:
После этого можно заглянуть обратно в IP-IPSec, закладка Instaled SAs, и вы должны увидеть, что байты бегут по туннелю в обе стороны:
В итоге, у нас со стороны микрота получились следующие маршруты:
Проверим MTU со стороны Микрота (запингуем внутреннюю сетку головы большими пакетами):
Пакеты пролазят-это радует.
Для верности посмотрим, что у нас от компа до компа:
В целом все так, как должно быть.
На этом настройка закончена, но самое интересное, сделать все тоже самое за NAT.
Но это уже тема следующего повествования…
Всем хорошей работы!!!
P.S. В продакшине оказалось не все так гладко, как на стенде. В Голове у нас стоят маршрутизаторы Cisco ISR 4331, туннель никак не хотел «подниматься», оказалось все дело в прошивке, пришлось их обновлять до последних прошивок. Все сложилось не так гладко, как хотелось бы, но сложилось. Еще раз благодарю Рому и Стаса за подробные разъяснения по некоторым, непонятным для меня вопросам (а их было не мало), по теме. В настоящий момент в продакшин введено уже два Микрота пока с белыми адресами. Две недели, полет нормальный… Будем посмотреть, как события будут развиваться дальше….
Понравилось это:
Нравится Загрузка…
22.10.2019 —
Posted by khlebalin |
Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое…
Sorry, the comment form is closed at this time.
GRE внутри IPSec между Mikrotik и Cisco
Медленно, но верно корпоративный сектор отказывается от маршрутизаторов Cisco в пользу устройств Mikrotik. В данном случае было решено ставить микроты в качестве шлюзов для филиалов.
Изначально вся сеть была построена на Cisco. Центральный маршрутизатор — Cisco 2800 серии, который собирается на себе кучу IPSec туннелей, по какой-то причине сделанных без VTI.
Так вот, лет через 10-15 филиальные цыски начали дохнуть. Ставить вместо них аналогичную железку дорого. Было принято решения закупать микроты RB951G-2HdD. После первой интеграции микрота в эту сеть мне хотелось сделать заметку о том, как подружить по GRE over IPsec (рассуждения на тему что же все таки over что можно почитать тут — http://linkmeup.ru/blog/50.html) микрот и sysko, но как-то не было времени. И вот подвернулась задачка, о которой хочу написать.
Был один узел в сети, у которого белый адрес остался жить на ADSL модеме в силу того, что там использовалось PPPoA, а не PPPoE. Был сделан NAT таким образом, что UDP 500 пролетал на внешний серый адрес роутера филиала. На хабе включен режим NAT-T. Работало это на карте шифрования, пакующей только юникаст трафик с одной сети в другую. В качестве пиров указаны внешние адреса. Упоминания о том, что внешним адресом филиального роутера является серый адрес нигде в конфиге не было.
Все бы хорошо, но филиальная sysco стала виснуть по три раза на день. Меняем на микрот.
До этого в филиалах уже ставились микроты. С общей картой шифрования на хабе у меня не получилось с пол пинка их подружить, поэтому на хабе была сделана следующая конструкция для подключений микротов:
crypto isakmp key Secret address 3.3.3.3
!
crypto ipsec transform-set SECURE-TS esp-aes 256 esp-md5-hmac
!
crypto ipsec profile SECURE-P
set transform-set SECURE-TS
set pfs group2
!
interface Tunnel1
description to_Mikrotik
ip address 192.168.200.1 255.255.255.252
tunnel source 1.1.1.1
tunnel destination 3.3.3.3
tunnel protection ipsec profile SECURE-P
!
ip route 10.10.3.0 255.255.255.0 192.168.200.2
!
ip nat inside source list NAT-ACL interface FastEthernet1 overload
!
ip access-list extended NAT-ACL
deny ip 10.10.1.0 0.0.0.255 10.10.3.0 0.0.0.255
permit ip 10.10.1.0 0.0.0.255 any
!
Шифрование осуществляется непосредственно на GRE туннеле т.е. шифруется протокол GRE src 1.1.1.1 dst 3.3.3.3.
На микротике настройки аналогичные.
В этот же раз схемы была немного другой т.к. спок стоит за NAT. Я сделал конфиг на микроте аналогичный конфигу цыски, но это не заработало как надо. С сети хаба виден был внутренний интерфейс микрота. С внутреннего интерфейса микрота видны были хосты внутренней сети хаба, но связи между хостами филиала и основного офиса не было. По непонятной мне причине микрот не шифровал трафик, который был описан в карте шифрования. Я не стал долго разбираться с этой проблемой и решил сделать туннель с VTI.
С конфигом туннеля на микроте вопросов нет. SRC=192.168.0.33, DST=1.1.1.1, но что на хабе? SRC=1.1.1.1, а DST? Если укажем внешний адрес 2.2.2.2, то туннель не поднимется т.к. микрот не владеет этим адресом и отбросит пакет, а сделать NAT мы не сможем т.к. сетевой экран филиала этот трафик будет проходить в зашифрованном виде.
Я сделал следующим образом:
crypto map combined 70 ipsec-isakmp
set peer 2.2.2.2
set transform-set SECURE-TS
match address 106
!
interface FastEthernet1
ip address 1.1.1.1 255.255.255.252
crypto map combined
!
interface Tunnel11
description to_Mikrotik5
ip address 192.168.200.45 255.255.255.252
tunnel source 1.1.1.1
tunnel destination 192.168.1.33
!
ip route 192.168.1.33 255.255.255.255 1.1.1.2
!
access-list 106 permit gre host 1.1.1.1 host 192.168.1.33
В результате есть карта, которая шифрует трафик протокола GRE идущий с адреса 1.1.1.1 на адрес 192.168.0.33, выходящий через внешний интерфейс (есть маршрут). До того, как выйти с интерфейса хаба пакет с указанными выше SRC и DST шифруется, заворачивается в заголовок ESP с уже новыми SRC=1.1.1.1 DST=2.2.2.2 (peer из карты шифрования).
С этими же адресами пакет ESP проходит фаервол филиала, после чего микрот сбрасывает заголовок ESP и видит в качестве DST туннеля свой 192.168.0.33. Туннель в UP.
В действительности, все это также работает на устройствах всех вендоров и привязывать этот случай к микротику нет никакого смысла. Просто давно нужно было сделать заметку о туннелях цыски и микрота, а тут такой случай.
В итоге схема такая:
Как подключить MikroTik к Cisco VPN [Пошаговое руководство]
Один из наших недавних проектов требовал подключения офисного шлюза на базе MikroTik к клиентской сети Cisco VPN. Эта задача выполняется одним щелчком мыши, если у вас есть доступ к консоли Cisco или если вы можете создать заявку в службу поддержки с просьбой изменить или отладить настройки VPN. Мы начали только с имени группы, пароля группы и учетных данных пользователя, что превратило проблему в настоящий вызов. Итак, если вы находитесь в такой же ситуации и не можете проверять журналы или следовать официальным рекомендациям, ознакомьтесь с нашим решением.
Cisco VPN: обзор проблемы
По умолчанию MikroTik RouterBOARD с прошивкой старше версии 5.0 предлагает интерфейс и настройки IPsec VPN, но собственный VPN Cisco представляет собой модифицированный IPsec, поэтому мы имели дело с двумя несовместимыми протоколами.
Примечание. Этот метод работает только на RouterBOARD с как минимум 16 МБ доступной оперативной памяти, чем больше — тем лучше.
Что вам понадобится
- RouterOS с пакетом Metrouter или KVM;
- OpenWrt для арки MIPS с патчами ядра MikroTik (или KVM, если у вас плата x86).
Решение
После загрузки образа в память маршрутизатора импортируйте его, следуя инструкциям.
Импортировать изображение:
[admin @ MikroTik]> / metarouter> import-image file-name = openwrt-mr-mips-rootfs.tgz memory-size = 16 enabled = no
Создайте интерфейс для виртуальной машины:
[admin @ MikroTik]> / metarouter interface> добавить dynamic-bridge = bridge-local type = dynamic virtual-machine = mr3
Примечание. OpenWrt по умолчанию предоставляет DHCP-сервер.Если вы чувствуете, что ваш клиент может получить неверный IP-адрес, вам следует заблокировать MAC-адрес интерфейса с помощью брандмауэра во время настройки.
Начинается с:
[admin @ MikroTik]> / metarouter> включить mr3
Подключитесь к консоли и измените настройки по умолчанию:
[админ @ MikroTik]> / metarouter> консоль MR3
Нажмите Enter, чтобы активировать эту консоль.
Вы увидите:
BusyBox v1.16.1 (2010-04-13 10:25:42 EEST) встроенная оболочка (ясень)
Введите «Справка» для получения списка встроенных команд.
Вы увидите:
_______ ________ __
| |. ——. —— .——. | | | | .—-. | | _
| — || _ | -__ | || | | || _ || _ |
| _______ || __ | _____ | __ | __ || ________ || __ | | ____ |
| __ | WIRELESSFREEDOM
KAMIKAZE (bleeding edge, r20828) ——————
Водка 10 унций Хорошо встряхните со льдом и процедите
* 10 унций Triple sec Залейте смесь в 10 рюмок стаканы
* 10 унций сока лайма Добавьте и наслаждайтесь!
————————————————- —
устройство eth0 вошло в беспорядочный режим
br-lan: порт 1 (eth0) входит в состояние пересылки
root @ OpenWrt: / # Общий драйвер PPP версии 2.4.2
ip_tables: (C) 2000-2006 Netfilter Core Team
NET: зарегистрированное семейство протоколов 24
nf_conntrack версии 0.5.0 (256 сегментов, макс. 1024)
корень @ OpenWrt: ~ # vi / etc / config / network
Измените значения по умолчанию на dhcp или ваш статический ip.
config интерфейс LAN опция ifname eth0 вариант типа мост вариант proto dhcp варианты peerdns 1
После отключения DHCP-сервера:
корень @ OpenWrt: ~ # vi / etc / config / dhcp
конфиг dhcp br-lan опция интерфейса br-lan вариант игнорировать 1
Сохраните и перезапустите Dnsmasq:
root @ OpenWrt: ~ # / etc / init.d / dnsmasq перезапуск
Отключите правило брандмауэра MikroTik для интерфейса метаршрутизатора (если вы заблокировали его ранее) и перезапустите сеть на OpenWrt:
root @ OpenWrt: ~ # /etc/init.d/network restart
Проверить сетевой адрес:
root @ OpenWrt: ~ # ifconfig br-lan
br-lan Link encap: Ethernet HWaddr 08: 00: 27: 7A: C3: C0
inet адрес: 172.16.4.33 Bcast: 172.16.255.255 Маска: 255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU: 1500 Метрическая система: 1
Пакеты RX: 3014430 ошибок: 0 отброшено: 477823 переполнения: 0 кадр: 0
Пакеты TX: 31940 ошибок: 0 отброшено: 0 переполнено: 0 несущая: 0
коллизий: 0 txqueuelen: 0
байтов RX: 401676602 (383.0 МБ) Байт TX: 4923172 (4,6 МБ)
Если интерфейсу назначен правильный IP-адрес, переходите к следующему шагу.
Измените URL-адрес репозитория пакета и установите пакет VPNC:
корень @ OpenWrt: ~ # vi /etc/opkg.conf
Снимки
src http://rnd.rajven.net/openwrt/mikrotik/metarouter/mr-mips/packages dest root / dest ram / tmp каталог_список ext / var / opkg-lists опция overlay_root / overlay
Сохраните и установите пакет:
#opkg update && opkg install vpnc
Настроить:
root @ OpenWrt: ~ # vi / etc / vpnc / default.conf Шлюз IPSec <ваш-vpn-addr> IPSec ID <Имя группы> Секрет IPSec <Групповой пароль> Имя пользователя Xauth <Имя пользователя> Пароль Xauth <пароль пользователя>
Сохранить и запустить:
корень @ OpenWrt: ~ # vpnc
Результаты проверки:
корень @ OpenWrt: ~ # ifconfig
<....>
tun0 Link encap: UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet адрес:
UP POINTOPOINT RUNNING NOARP MULTICAST MTU: 1412 Метрика: 1
RX пакетов: 2661 ошибок: 0 отброшено: 0 переполнений: 0 кадров: 0
TX пакетов: 2053 ошибок: 0 отброшено: 0 переполнений: 0 носитель: 0
коллизии: 0 txqueuelen: 500
байтов RX: 2573037 (2,4 MiB) байтов TX: 374920 (366,1 KiB)
Добавьте маршрут к удаленной сети на RouterOS. Я добавил все маршруты, которые получил VPN-клиент.
Используйте эти маршруты на Openwrt:
root @ OpenWrt: ~ # ip ro | grep tun0
10.0.0.0 / 24 dev tun0 scope link
10.1.1.0/24 dev tun0 scope link
На Mikrotik:
[admin @ MikroTik]> / ip route add dst-address = 10.0.0.0 / 24 gateway =distance = 1 type = unicast
И повторите эту процедуру для каждого маршрута.
Кроме того, вы можете добавить в Cron сценарий мониторинга, который проверяет удаленную сеть и перезапускает соединение в случае потери пакетов:
корень @ OpenWrt: ~ # vi /root/bin/vpn-check.sh #! / bin / sh # # Перезапустите VPNC, если оба указанных хоста в командной строке недоступны interface = "$ (ifconfig | grep tun | awk '{print $ 1}')" эхо $ {интерфейс}если! [$ (ping -q -c 1 $ {1} 2> & 1 | grep "Получено 1 пакетов" | sed "s /.* \ (1 \) пакеты получены. * / \ 1 / ")] ||! [$ {Interface} == 'tun0'];
затем
echo Not alive $ 1, перезапуск VPNC
/ etc / init.d / vpnc stop
sleep 5
/etc/init.d/vpnc start
else
echo Alive $ 1
fi
В Кроне:
корень @ OpenWrt: ~ # crontab -l * / 5 * * * * /root/bin/vpn-check.sh <адрес удаленного сервера>
Ссылки
.
Mikrotik + Cisco + IPIP-туннель + IPSec + OSPF
политика крипто isakmp 20 код 256 предварительная проверка подлинности группа 2 крипто-ключ isakmp Mykey адрес 0.0.0.0 ! крипто-ipsec набор преобразований aes256_tr esp-aes 256 esp-sha-hmac вид транспорта ! крипто-профиль ipsec mikrotik_pr установить набор преобразований aes256_tr установить pfs group2 ! интерфейс Tunnel881021 описание Mik01-Center_SEC-PRI IP-адрес 192.168.252.37 255.255.255.252 нет IP-перенаправления нет недостижимых IP нет IP-прокси-arp ip mtu 1450 точка-точка сети IP OSPF Туннельный источник 90.154.106.114 туннельный режим ipip пункт назначения туннеля 62.105.149.228 защита туннеля профиль ipsec mikrotik_pr ! маршрутизатор ospf 15 идентификатор маршрутизатора 192.168.253.11 пассивный интерфейс по умолчанию без пассивного интерфейса Tunnel881021 сеть 192.168.252.36 0.0.0.3 область 0
/ интерфейс ipip добавить! keepalive local-address = 62.105.149.228 mtu = 1450 name = Tunnel1 remote-address = 90.154.106.114 /айпи адрес добавить адрес = 192.168.252.38 / 30 интерфейс = сеть Tunnel1 = 192.168.252.36 / ip ipsec предложение установить [найти по умолчанию = да] enc-алгоритмы = aes-256-cbc добавить enc-алгоритмы = aes-256-cbc имя = AES-256 / ip ipsec одноранговый добавить адрес = 90.154.106.114 / 32 enc-algorithm = aes-256 nat-traversal = no secret = OstecGPkey / ip политика ipsec добавить dst-адрес = 90.154.106.114 / 32 предложение = протокол AES-256 = ipencap sa-dst-address = 90.154.106.114 sa-src-address = 62.105.149.228 src-address = 62.105.149.228 / 32 / routing сеть ospf добавить область = магистральная сеть = 192.168.252.36 / 30 добавить область = магистральная сеть = 192.168.88.0 / 24
Cisco:
интерфейс Туннель 881021 нет туннельной защиты профиль ipsec mikrotik_pr
Микротик:
[vs @ Mik01]> ip ipsec policy print Флаги: T - шаблон, X - отключен, D - динамический, I - неактивен, * - по умолчанию 0 T * группа = по умолчанию src-address = :: / 0 dst-address = :: / 0 protocol = все предложение = шаблон по умолчанию = да 1 src-адрес = 62.105.149.228 / 32 src-port = любой dst-адрес = 90.154.106.114 / 32 dst-port = любой протокол = ipencap action = уровень шифрования = требуются протоколы ipsec = туннель esp = нет sa-src-address = 62.105.149.228 sa-dst-address = 90.154.106.114 предложение = AES-256 приоритет = 0 [vs @ Mik01]> ip ipsec policy disable 1
.