Разное

Mikrotik gre tunnel настройка: Настройка GRE туннелей в MikroTik RouterOS

Содержание

Настройка GRE туннелей в MikroTik RouterOS

Очень часто перед системным администратором стоит задача по объеденению в одну сеть 2 или более офисов находящихся в разных районах города, или вообще в разных городах, чтобы пользователи могли пользоваться общими ресурсами. Если не нужно шифровать данные(что в большинстве случаев так и есть), то наиболее оптимальным вариантом является объеденение двух точек через GRE туннель.

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

На рисунке показан пример работы GRE туннеля,  между двумя маршрутизаторами A и B находится несколько маршрутизаторов, туннель позволяет обеспечить связь между сегментами сети 192. 168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были соединены прямым линком.

Для работы GRE туннеля оба маршрутизатора должены иметь внешние ip адреса на маршрутизаторе А это 11.11.11.11 на маршрутизаторе B 33.33.33.33 . Настройку маршрутизаторов А и В будем производить через консоль winbox.

На стройка маршрутизатора A

Создаем новый интерфейс для GRE, для этого заходим в панель interfaces, нажимаем на плюсик и выбираем GRE Tunnel. Указываем Remote Address, ip адрес маршрутизатора В, в нашем случае 33.33.33.33, все остальное оставим как есть.

Затем идем в меню IP->Addresses, нажимаем на плюсик и в строке Address прописываем ip адрес для GRE интерфейса у нас он 192.168.2.1/30, этот адрес может быть любым, мы его сами назначаем для туннеля, в строке interface, из выпадающего списка, выбираем название нашего интерфейса созданного выше, в нашем случае это» gre-tunnel1″

Заходим в меню IP->Routes нажимаем на плюсик и добавляем маршут до локальной сети маршрутизатора В, в строке DST. Address прописываем нашу удаленную сеть, которая настроена на маршрутизаторе В, у нас она 192.168.3.0/24, Gateway указываем ip адрес который мы назначили на GRE туннель на маршрутизаторе В, у нас это 192.168.2.2

 Настройка маршрутизатора В

Маршрутизатор В настраивается зеркально маршрутизатору А.

1.Добавляем новый GRE интерфейс, в качестве Remote Address указываем внешний ip маршрутизатора А, у нас он 11.11.11.11

2.Прописываем на созданном GRE интерфейсе адрес, он должен быть в одной сети с адресом GRE интерфейса маршрутизатора А, у нас это 192.168.2.2

3.Прописываем новый маршрут, DST.Address указываем локальную сеть маршрутизатора А(у нас 192.168.1.1),  а Gateway прописываем ip адрес на GRE интерфейсе маршрутизатора А(у нас 192.168.2.1).

После этих настроек компьютеры из локальной сети А должны «увидеть» компьютеры из локальной сети В. Это можно проверить командой ping.

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Настройка PPTP клиент в MikroTik RouterOS

Для настройки подключения к серверу PPTP на микротике, нужно зайти в меню РРР и добавить новый PPTP Client интерфейс, на вкладке Dial Out прописываем следующие параметры:

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

ConnectTo — ip адрес PPTP сервера

User — логин для подключения к РРТР серверу

Password — пароль для подключения к РРТР серверу

Add Default Route — указываем если хотим что бы весь наш трафик шел через РРТР тунель.

Dial on Demand — установите этот флажок, если вы хотите, чтобы Mikrotik подключался к провайдеру только если с одного из ваших устройств запрошено подключение к интернет. И держал соединение отключенным, если выход в интернет никому не требуется.

 

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

настройка gre tunnel mikrotik настройка

VPN:GRE и IPsec (быстрая настройка, аутентификация с помощью пароля)

Содержание

Схема сети

В головном офисе установлен маршрутизатор GW1. В филиале установлен маршрутизатор GW2.

Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24

IP-адрес внутренней сети головного офиса: 192. 168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24

Филиал
IP-адрес внешней сети головного офиса: 10.1.200.1/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.200.1/24

IP-адрес внутренней сети головного офиса: 192.168.25.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.25.1/24

VPN-канал
IP-адрес VPN-сети: 172.16.30.0/30
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.1/30
IP-адрес VPN-интерфейса маршрутизатора GW2: 172.16.30.2/30

Настройка

Настройка первого маршрутизатора

Через графический интерфейс

Создать GRE-туннель. Укажем параметр «keepalive«, который определяет находится ли туннель в рабочем состоянии. Если параметр не включен, то даже, если второй маршрутизатор будет выключен интерфейс все равно будет показывать рабочее состояние, что не удобно для диагностики. Мы рекомендуем использоваться значение 10 попыток по 10 секунд. т. е., если в течении 100 секунд не будет никаких сигналов с противоположной стороны туннель перейдет в нерабочее состояние. При этом он автоматически включится, если противоположная сторона попытается установить соединение. Мы рекомендуем выбирать имя интерфейса, которое бы позволяло однозначно идентифицировать кто находится на противоположной стороне туннеля. Если филиалов 1-2, то достаточно и простых идентификаторов. А вот если их число начнет расти, то идентификаторы вроде filial1, filial2, filial3 и т. д. будут не самыми удобными. В отличии от настройки GRE без IPSec в этой конфигурации должна быть отключена опция «Allow Fast Path«, а параметр «Local Address:» является обязательным потому что без него не получится создать автоматические настройки IPsec.
При указании параметра «IPsec Secret:» будут автоматически созданы необходимые настройки IPsec. При этом надо учитывать, что внести изменения в эти настройки не будет возможности.

Примечание: На картинке имеется опечатка. Значения параметров Local Address и Remote Address надо поменять местами.

Назначить IP-адрес GRE-туннелю, созданному на предыдущем шаге.

Через консоль

/interface gre
add name=GRE1 keepalive=10s,10 local-address=10.1.100.1 remote-address=10.1.200.1 allow-fast-path=no ipsec-secret=ipsec-password

/ip address
add address=172.16.30.1/30 interface=GRE1

Настройка второго маршрутизатора

Через графический интерфейс

Настройки второго маршрутизатора полностью идентичны настройкам на первом. Поэтому комментировать их мы не будем.

Через консоль

/interface gre
add name=GRE1 keepalive=10s,10 local-address=10.1.200.1 remote-address=10.1.100.1 allow-fast-path=no ipsec-secret=ipsec-password

/ip address
add address=172.16.30.2/30 interface=GRE1

Настройка маршрутизации

Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:

На первом маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.25.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.2 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.15.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

/ip route
add comment=»route to filial1 through VPN» dst-address=192.168.25.0/24 gateway=172.16.30.2 pref-src=192.168.15.1

На втором маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.15.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.1 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.25.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

Через консоль
/ip route
add comment=»route to HQ through VPN» dst-address=192.168.15.0/24 gateway=172.16.30.1 pref-src=192.168.25.1

HQ — это аббревиатура от headquarter, что в переводе означает головной офис.

Примечание: Параметр Pref. Source (pref-src) не является обязательным. Он становится нужен, если количество филиалов будет более одного. Без этого параметра не будут проходить ping’и с маршрутизатора одного филиала до хостов и внутреннего интерфейса маршрутизатора другого филиала. Не будут проходить ping’и именно с маршрутизаторов, т. е. между хостами двух филиалов связь будет.

Следует учесть

Проверка

Проверка состоит из двух частей:

  1. Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
  2. Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

Предупреждение: При проверке работоспособности GRE-туннеля надо учитывать параметр keepalive. Если он отсутствует, то GRE-туннель всегда будет отображаться в рабочем состоянии даже, если это не так. Если параметр стоит, как 10 секунд + 10 попыток, то это значит, что маршрутизатор сделает 10 попыток по 10 секунд каждая (итого 100 секунд) и только по истечении этого периода интерфейс будет отображаться как нерабочий. Т. е. теоретически возможна ситуация, когда интерфейс только-только перестал работать, но время по keepalive еще не вышло, и вы в этот промежуток времени проверите состояние туннеля, которое будет отображаться, как рабочее.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущен

Создание IPSec GRE туннеля между Mikrotik hEX S и Juniper SRX через USB Модем / Хабр

Цель

Необходимо организовать VPN Tunnel между двумя устройствами, таких как Mikrotik и Juniper линейки SRX.

Что имеем

Из микротиков выбрали на сайте микротика вики, модель которая сможет поддерживать аппаратное шифрование IPSec, на наш взгляд она оказалась достаточно компактная и недорогая, а именно Mikrotik hEXS.

USB Modem был куплен в ближайшем сотовом операторе, модель была Huawei E3370. Никакие операции по отвязки от оператора мы не проводили. Все штатное и прошито самим оператором.

В ядре установлен центральный маршрутизатор Juniper SRX240H.

Что удалось

Удалось реализовать схему работы, которая позволяет через сотового оператора, не имея статического адреса, посредством модема создать IPsec соединение в который заворачивается GRE Tunnel.

Данная схема подключения используется и работает на USB модемах Билайн и Мегафон.

Конфигурация следующая:

В ядре установлен Juniper SRX240H

Local Address: 192.168.1.1/24

External Address: 1.1.1.1/30

GW: 1.1.1.2

Удаленная точка

Mikrotik hEX S

Local Address: 192.168.152.1/24

External Address: Dynamic

Небольшая диаграмма для понимания работы:

Конфигурация Juniper SRX240:

Версия ПО JUNOS Software Release [12.1X46-D82]

Конфигурация Juniper

interfaces {
    ge-0/0/0 {
        description Internet-1;
        unit 0 {
            family inet {
                address 1.1.1.1/30;
            }
        }
    }
    gr-0/0/0 {
        unit 1 {
            description GRE-Tunnel;
            tunnel {
                source 172.31.152.2;
                destination 172.31.152.1;
            }
            family inet;    
    vlan {
        unit 0 {
            family inet {
                address 192.168.1.1/24;
            }
        }
    st0 {
        unit 5 {
            description "Area - 192.168.152.0/24";
            family inet {
                mtu 1400;
            }
        }
routing-options {
    static {
        route 0.0.0.0/0 next-hop 1.1.1.2;
        route 192.168.152.0/24 next-hop gr-0/0/0.1;
        route 172.31.152.0/30 next-hop st0.5;
    }
    router-id 192.168.1.1;
}
security {
    ike {
        traceoptions {
            file vpn.log size 256k files 5;
            flag all;
        }
        policy ike-gretunnel {
            mode aggressive;
            description area-192.168.152.0;
            proposal-set standard;
            pre-shared-key ascii-text "mysecret"; ## SECRET-DATA
        }
        gateway gw-gretunnel {
            ike-policy ike-gretunnel;
            dynamic inet 172.31.152.1;
            external-interface ge-0/0/0.0;
            version v2-only;
        }
    ipsec {
        }
        policy vpn-policy0 {
            perfect-forward-secrecy {
                keys group2;
            }
            proposal-set standard;
        }
        vpn vpn-gretunnel {
            bind-interface st0.5;
            df-bit copy;
            vpn-monitor {
                optimized;
                source-interface st0.5;
                destination-ip 172.31.152.1;
            }
            ike {
                gateway gw-gretunnel;
                no-anti-replay;
                ipsec-policy vpn-policy0;
                install-interval 10;
            }
            establish-tunnels immediately;
        }
    }
    policies {  
        from-zone vpn to-zone vpn {
            policy st-vpn-vpn {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                    log {
                        session-init;   
                        session-close;
                    }
                    count;
                }
            }
        }
        from-zone trust to-zone vpn {
            policy st-trust-to-vpn {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {                  
                    permit;
                    log {
                        session-init;
                        session-close;
                    }
                    count;
                }
            }
        }
        from-zone vpn to-zone trust {
            policy st-vpn-to-trust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                    log {
                        session-init;
                        session-close;
                    }
                    count;
                }
            }
        }
    zones {                             
        security-zone trust {
                vlan.0 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
        security-zone vpn {
            interfaces {
                st0.5 {
                    host-inbound-traffic {
                        protocols {
                            ospf;
                        }
                    }
                }
                gr-0/0/0.1 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;        
                        }
                    }
                }
        security-zone untrust {
            interfaces {
                ge-0/0/0.0 {
                    host-inbound-traffic {
                        system-services {
                            ping;
                            ssh;
                            ike;
                        }
                    }
                }
            }
        }
vlans {                                 
    vlan-local {
        vlan-id 5;
        l3-interface vlan.1;
    }

Конфигурация Mikrotik hEX S:

Версия ПО RouterOS [6.44.3]

Конфигурация Mikrotik

/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0

/interface gre
add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2

/ip ipsec policy group
add name=srx-gre

/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s name=profile1

/ip ipsec peer
add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
add enc-algorithms=aes-128-cbc,3des name=proposal1

/ip route
add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx

/ip ipsec identity
add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret

/ip ipsec policy
set 0 disabled=yes
add dst-address=0.C
--- 192.168.152.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 ms

Со стороны Mikrotik

net[admin@GW-LTE-] > ping 192.168.1.1 
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                                                               
    0 192.168.1.1                                56  64 34ms 
    1 192.168.1.1                                56  64 40ms 
    2 192.168.1.1                                56  64 37ms 
    3 192.168.1.1                                56  64 40ms 
    4 192.168.1.1                                56  64 51ms 
    sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms 

Выводы

После проделанной работы му получили стабильный VPN Tunnel, из удаленной сети нам доступна все сеть которая находиться за juniper, и соответственно обратно.

Не рекомендую использовать в данной схеме IKE2, возникала ситуация что после перезагрузки того или иного устройства не поднимается IPSec.

Как поднять gre туннель между двумя микротиками? — Хабр Q&A

Доброго времени суток!
Помогите пожалуйста в решение проблемы, есть два микротика rb-750, стоят в разных офисах, настроены одинаково, у каждого по два интернета и по одной локльной сети.
Локалка на обоихмикротиках работает через 1 й порт
Интернет через 2й и 3й порты,
На обоих микротиках настроен nat masqrade masquerade.
Есть охранняемые объекты на которых стоит оборудование которое по tcp порт 3058 шлет пакеты на белые статические адреса 1 го микротика, пакеты приходят на роутер firewall настроен так что пропускает их, через nat настроен проброс порта 3058 на локальный хост, все работает, все хорошо.
Так же есть оборудование С2000 ethernet один блок подключен к локалке 1го микротика второй блок к локалке второго миротика, эти блоки общаются между собой только по udp порт 2048, так же для этого порта на обоих микротиках стоит проброс на локальный хост вот ниже картинка как все есть.

По данной схеме все работает все хорошо, но стоит отвалиться первому ppoe на любом microtike и все басты карапизики, связи между двумя c2000ehernet нету. Такая ситуация часто случается, было решено поднять два gre туннеля с резервированием, а оборудование c2000 настроить отправлять пакеты не на белый статический адрес в инете а на прямую в удаленную локалку.
Для начала сделал один тунель настроил маршрутизацию, и ни чего не работает но при этом на первом микротике теряется интернет и пакеты по tcp 3058 то идут то не идут!
Настройки тунеля :
1й микротик
/interface gre add name=tunnel1 remote-address=90.189.0.1 local-address=192.168.5.1
/ip address
add address=192.168.5.1/30 interface=tunnel1

/ip route
add dst-address=192.168.11.0/24 gateway=192.168.5.2

2й микротик
/interface gre add name=tunnel1 remote-address =90.189.1.1 local-address=192.168.5.2
/ip address
add address=192.168.5.2/30 interface=tunnel1

/ip route
add dst-address=192.168.10.0/24 gateway=192.168.5.1
на 1-м c2000ethernet настраиваем слать пакеты на 192.168.11.15 шлюз микротиr 192.168.10.1
на 2-м c2000ethernet настраиваем слать пакеты на 192.168.10.15 шлюз микротиr 192.168.11.1
после проделанных настроек пакеты не пошли и пинг до виртуального ip адреса с одного микротика на второй не проходит, попробовал в настройках c2000 ethernet шлюз заменить на виртуальный адрес микротика тоже не работает! Люди добрые помоги пожалуйста что не так сделал?
Вот настройки firewall и nat первого микротика на втором все тоже самое:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-rostelecom
# pppoe-skat not ready
add action=masquerade chain=srcnat out-interface=pppoe-skat
add action=masquerade chain=srcnat out-interface=ether4-intertelecom
# pppoe-skat not ready
add action=netmap chain=dstnat dst-port=3058 in-interface=pppoe-skat \
protocol=tcp to-addresses=192.168.10.253 to-ports=3058
add action=netmap chain=dstnat dst-port=3058 in-interface=pppoe-rostelecom \
protocol=tcp to-addresses=192.168.10.253 to-ports=3058
# pppoe-skat not ready
add action=netmap chain=dstnat dst-port=3057 in-interface=pppoe-skat \
protocol=tcp to-addresses=192.168.10.254 to-ports=3057
add action=netmap chain=dstnat dst-port=3057 in-interface=pppoe-rostelecom \
protocol=tcp to-addresses=192.168.10.254 to-ports=3057
add action=netmap chain=dstnat dst-port=2048 in-interface=pppoe-rostelecom \
protocol=udp to-addresses=192.168.10.15 to-ports=2048
# pppoe-skat not ready
add action=netmap chain=dstnat dst-port=2048 in-interface=pppoe-skat \
protocol=udp to-addresses=192.168.10.15 to-ports=2048
add action=netmap chain=dstnat dst-port=2048 in-interface=ether4-intertelecom \
protocol=udp to-addresses=192.168.10.15 to-ports=2048
/ip firewall filter
add chain=input dst-port=8291 in-interface=ether1-local protocol=tcp
# pppoe-skat not ready
add chain=input in-interface=pppoe-skat protocol=icmp
# pppoe-skat not ready
add chain=input in-interface=pppoe-skat protocol=!icmp
add chain=input in-interface=pppoe-rostelecom protocol=icmp
add chain=input in-interface=pppoe-rostelecom protocol=!icmp
add chain=input in-interface=ether4-intertelecom protocol=icmp
add chain=input in-interface=ether4-intertelecom protocol=!icmp
add chain=input in-interface=ether1-local protocol=icmp
add chain=input in-interface=ether1-local protocol=!icmp
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add action=drop chain=input dst-port=53 protocol=udp
add action=drop chain=input
add chain=forward in-interface=ether1-local protocol=icmp
add chain=forward dst-port=21 in-interface=ether1-local protocol=tcp
add chain=forward dst-port=22 in-interface=ether1-local protocol=tcp
add chain=forward dst-port=53 in-interface=ether1-local protocol=udp
add chain=forward dst-port=123 in-interface=ether1-local protocol=udp
add chain=forward dst-port=80 in-interface=ether1-local protocol=tcp
add chain=forward dst-port=443 in-interface=ether1-local protocol=tcp
add chain=forward dst-port=5190 in-interface=ether1-local protocol=tcp
add chain=forward dst-port=2048 in-interface=ether1-local protocol=udp \
src-address=192.168.10.15
# no interface
add chain=forward in-interface=*E
# pppoe-skat not ready
add chain=forward dst-port=3057 in-interface=pppoe-skat out-interface=\
ether1-local protocol=tcp
add chain=forward dst-port=3057 in-interface=pppoe-rostelecom out-interface=\
ether1-local protocol=tcp
# pppoe-skat not ready
add chain=forward dst-port=3058 in-interface=pppoe-skat out-interface=\
ether1-local protocol=tcp
add chain=forward dst-port=3058 in-interface=pppoe-rostelecom out-interface=\
ether1-local protocol=tcp
add chain=forward dst-port=10003 in-interface=pppoe-rostelecom out-interface=\
ether1-local protocol=tcp
add chain=forward dst-port=2048 in-interface=pppoe-rostelecom out-interface=\
ether1-local protocol=udp
# pppoe-skat not ready
add chain=forward dst-port=2048 in-interface=pppoe-skat out-interface=\
ether1-local protocol=udp
add chain=forward dst-port=2048 in-interface=ether4-intertelecom \
out-interface=ether1-local protocol=udp
add chain=forward dst-address=89.188.108.102 dst-port=2226 in-interface=\
ether1-local protocol=tcp
add chain=forward dst-address=89.108.73.22 dst-port=2226 in-interface=\
ether1-local protocol=tcp
add chain=forward dst-address=176.119.17.11 dst-port=554,8000 in-interface=\
ether1-local protocol=tcp
add chain=forward connection-state=established,related
add action=drop chain=forward
add action=drop chain=forward comment=social disabled=yes layer7-protocol=\
social src-address-list=192.168.10.238

Gre туннель mikrotik ipsec — Вэб-шпаргалка для интернет предпринимателей!

Содержание

Схема сети

В головном офисе установлен маршрутизатор GW1. В филиале установлен маршрутизатор GW2.

Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24

IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24

Филиал
IP-адрес внешней сети головного офиса: 10.1.200.1/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.200.1/24

IP-адрес внутренней сети головного офиса: 192.168.25.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.25.1/24

VPN-канал
IP-адрес VPN-сети: 172.16.30.0/30
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.1/30
IP-адрес VPN-интерфейса маршрутизатора GW2: 172.16.30.2/30

Настройка

Настройка первого маршрутизатора

Через графический интерфейс

Настройка состоит из двух частей:

  1. Создать туннель GRE
  2. Зашифровать трафик, который проходит через туннель GRE

Создать GRE-туннель. Укажем параметр «keepalive«, который определяет находится ли туннель в рабочем состоянии. Если параметр не включен, то даже, если второй маршрутизатор будет выключен интерфейс все равно будет показывать рабочее состояние, что не удобно для диагностики. Мы рекомендуем использоваться значение 10 попыток по 10 секунд. т. е., если в течении 100 секунд не будет никаких сигналов с противоположной стороны туннель перейдет в нерабочее состояние. При этом он автоматически включится, если противоположная сторона попытается установить соединение. Мы рекомендуем выбирать имя интерфейса, которое бы позволяло однозначно идентифицировать кто находится на противоположной стороне туннеля. Если филиалов 1-2, то достаточно и простых идентификаторов. А вот если их число начнет расти, то идентификаторы вроде filial1, filial2, filial3 и т. д. будут не самыми удобными.

Назначить IP-адрес GRE-туннелю, созданному на предыдущем шаге.

Настройка IPsec-пира. На первом этапе надо указать адрес пира (маршрутизатора с которым будет устанавливаться соединение) и ключ (secret) с помощью, которого будет проходить авторизация. В качестве алгоритма шифрования мы выбрали aes-128. Конечно можно использовать и более длинные ключи, но это не имеет практического смысла, т. к. даже для подбора такого ключа требуется очень-очень много лет. Поэтому мы считаем, что более длинные ключи нужны либо в маркетинговых целях либо, если вы очень заморочены на глобальной слежке правительства.

Настройка политики IPsec. Следующим шагом надо настроить политику IPsec. Политика описывает в каких случаях должно использоваться шифрование. Т. е., если пакет совпадает с правилом описанным в политике, то выполняется заданное действие. В нашем случае это шифрование трафика идещего через интерфейс GRE. Если пакет не совпадает с правилом, то он идет дальше без обработки политикой.

Через консоль

/interface gre
add name=GRE1 keepalive=10s,10 remote-address=10.1.200.1

/ip address
add address=172.16.30.1/30 interface=GRE1

/ip ipsec peer
add address=172.16.30.2/32 hash-algorithm=sha1 enc-algorithm=aes-128 secret=ipsec-password send-initial-contact=no nat-traversal=no comment=filial1

/ip ipsec policy
add action=encrypt src-address=192.168.15.0/25 dst-address=192.168.25.0/25 sa-src-address=172.16.30.1 sa-dst-address=172.16.30.2 ipsec-protocols=esp tunnel=yes comment=filial1

Настройка второго маршрутизатора

Через графический интерфейс

Расписывать заново каждое действие мы не будем, т. к. они полностью аналогичны настройкам на первом маршрутизаторе.

Настройка политики IPsec.

Через консоль

/interface gre
add name=GRE1 keepalive=10s,10 remote-address=10.1.100.1

/ip address
add address=172.16.30.2/30 interface=GRE1

/ip ipsec peer
add address=172.16.30.1/32 hash-algorithm=sha1 enc-algorithm=aes-128 secret=ipsec-password send-initial-contact=no nat-traversal=no comment=HQ

/ip ipsec policy
add action=encrypt src-address=192.168.25.0/25 dst-address=192.168.15.0/25 sa-src-address=172.16.30.2 sa-dst-address=172.16.30.1 ipsec-protocols=esp tunnel=yes comment=HQ

Настройка маршрутизации

Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:

На первом маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.25.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.2 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.15.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

/ip route
add comment=»route to filial1 through VPN» dst-address=192.168.25.0/24 gateway=172.16.30.2 pref-src=192.168.15.1

На втором маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.15.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.1 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.25.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

Через консоль
/ip route
add comment=»route to HQ through VPN» dst-address=192.168.15.0/24 gateway=172.16.30.1 pref-src=192.168.25.1

HQ — это аббревиатура от headquarter, что в переводе означает головной офис.

Примечание: Параметр Pref. Source (pref-src) не является обязательным. Он становится нужен, если количество филиалов будет более одного. Без этого параметра не будут проходить ping’и с маршрутизатора одного филиала до хостов и внутреннего интерфейса маршрутизатора другого филиала. Не будут проходить ping’и именно с маршрутизаторов, т. е. между хостами двух филиалов связь будет.

Следует учесть

Проверка

Проверка состоит из двух частей:

  1. Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
  2. Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

Предупреждение: При проверке работоспособности GRE-туннеля надо учитывать параметр keepalive. Если он отсутствует, то GRE-туннель всегда будет отображаться в рабочем состоянии даже, если это не так. Если параметр стоит, как 10 секунд + 10 попыток, то это значит, что маршрутизатор сделает 10 попыток по 10 секунд каждая (итого 100 секунд) и только по истечении этого периода интерфейс будет отображаться как нерабочий. Т. е. теоретически возможна ситуация, когда интерфейс только-только перестал работать, но время по keepalive еще не вышло, и вы в этот промежуток времени проверите состояние туннеля, которое будет отображаться, как рабочее.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущено.

Через консоль

На обоих маршрутизаторах выполнить команду /interface gre print
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.

Рассмотрим как создать IPSec VPN туннель между двумя Mikrotik .

Настройки на первом устройстве:

1. Создаем IP Tunnel, заходим меню Interfaces и переходим на вкладку IP Tunnel и нажимаем +

Name — вбиваем имя туннеля

Local Address — наш внешний ip

Remote Adress — удаленный ip

2. Назначаем IP адрес, заходим в меню IP->Addresses и нажимаем +

Address — вбиваем внутренний ip адрес туннеля

Interface — выбираем созданный нами туннель

3. Заходим в меню IP->IPsec и на вкладке Policies нажимаем +

Scr. Address — вводим наш внешний IP

Dst. Address — удаленный ip

Переходим на вкладку Action

Action — encrypt

Level — require

IPsec Protocols — esp

Tunnel — ставим галочку

SA Scr. Address — вводим наш внешний IP

SA Dst. Address — удаленный ip

4. Переходим на вкладку Peers и нажимаем +

На вкладке General в поле Address — вбиваем удаленный ip

Auth. Method — pre shared key

Exchange Mode — main

Secret — ключ шифрования (придумываем сами, на втором устройстве должен быть такой же)

переходим на вкладку Advanced

Настраиваем все как на рисунке ниже

Переходим на вкладку Encryption

Hash Algorithm — md5

Encryption Algorithm — aes-128

DH Group — modp1024

На этом настройка первого устройства завершена, переходим ко второму.

Настройки на втором устройстве:

1. Создаем IP Tunnel, заходим меню Interfaces и переходим на вкладку IP Tunnel и нажимаем +

Name — вбиваем имя туннеля

Local Address — наш внешний ip

Remote Adress — удаленный ip

2. Назначаем IP адрес, заходим в меню IP->Addresses и нажимаем +

Address — вбиваем внутренний ip адрес туннеля

Interface — выбираем созданный нами туннель

3. Заходим в меню IP->IPsec и на вкладке Policies нажимаем +

Scr. Address — вводим наш внешний IP

Dst. Address — удаленный ip

Переходим на вкладку Action

Action — encrypt

Level — require

IPsec Protocols — esp

Tunnel — ставим галочку

SA Scr. Address — вводим наш внешний IP

SA Dst. Address — удаленный ip

4. Переходим на вкладку Peers и нажимаем +

На вкладке General в поле Address — вбиваем удаленный ip

Auth. Method — pre shared key

Exchange Mode — main

Secret — ключ шифрования (который ввели на первом устройстве)

переходим на вкладку Advanced

Настраиваем все как на рисунке ниже

Переходим на вкладку Encryption

Hash Algorithm — md5

Encryption Algorithm — aes-128

DH Group — modp1024

IPSec будет находится «в режиме ожидания» пока вы не инициируете подключение к удаленной подсети или пингом, или любым другим обращением.

Перейдем в Tools->Ping на первом устройстве и запустим пинг на второй роутер по ip адресу который мы присвоили удаленному ip туннелю (172.25.24.2)

Как мы видим пинг идет, значит туннель работает.

Далее нам нужно что бы ресурсы удаленной сети были доступны нам, создадим для этого правило.

Переходим в IP->Routes и нажимаем +

Dst. Address — указываем удаленную подсеть (в нашем случаи это 192.168.24.0/24)

Gateway — созданный нами туннель и нажимаем ОК.

Если необходим доступ к локальным ресурсам из второй сети в первую, аналогично создадим такое же правило, только измениться Dst. Adress, в этом поле укажем нашу подсеть (192.168.0.0/24).

Необходимо организовать VPN Tunnel между двумя устройствами, таких как Mikrotik и Juniper линейки SRX.

Что имеем

Из микротиков выбрали на сайте микротика вики, модель которая сможет поддерживать аппаратное шифрование IPSec, на наш взгляд она оказалась достаточно компактная и недорогая, а именно Mikrotik hEXS.

USB Modem был куплен в ближайшем сотовом операторе, модель была Huawei E3370. Никакие операции по отвязки от оператора мы не проводили. Все штатное и прошито самим оператором.

В ядре установлен центральный маршрутизатор Juniper SRX240H.

Что удалось

Удалось реализовать схему работы, которая позволяет через сотового оператора, не имея статического адреса, посредством модема создать IPsec соединение в который заворачивается GRE Tunnel.

Данная схема подключения используется и работает на USB модемах Билайн и Мегафон.

В ядре установлен Juniper SRX240H
Local Address: 192.168.1.1/24
External Address: 1.1.1.1/30
GW: 1.1.1.2

Mikrotik hEX S
Local Address: 192.168.152.1/24
External Address: Dynamic

Небольшая диаграмма для понимания работы:

Конфигурация Juniper SRX240:

Версия ПО JUNOS Software Release [12.1X46-D82]

Конфигурация Mikrotik hEX S:

Версия ПО RouterOS [6.44.3]

Результат:
Со стороны Juniper SRX

Со стороны Mikrotik

Выводы

После проделанной работы му получили стабильный VPN Tunnel, из удаленной сети нам доступна все сеть которая находиться за juniper, и соответственно обратно.

Не рекомендую использовать в данной схеме IKE2, возникала ситуация что после перезагрузки того или иного устройства не поднимается IPSec.

Читают сейчас

Похожие публикации

  • 18 марта 2015 в 08:39

Настойка можжевельника: готовим Juniper SRX. Часть 3: Virtual Routers

Juniper SRX: Обновляем версию JunOS

Juniper SRX: Site-to-Site IPSec VPN с использованием SSL сертификатов

Вакансии

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Комментарии 29

Зачем тогда GRE? Если IPSEC в туннельном режиме уже есть и делает практически то же самое.

IPsec на стороне Микротика шифрует весь трафик, соответственно либо надо сеть бить 192.168.0.0/17, либо если нужна вся доступная сеть 192.168.0.0/16, то Микротик будет не доступен из локальной сети, по этому шифруем трафик 172.31.xxx.xxx

Вроде не пропустил, он есть.

Белого адреса нет, через Cloud Микротика не работает. Поэтому только через серый.

Внимание! При подключении к двум и более провайдерам, в интернет-центре серии Keenetic возможно использовать только резервирование подключений. Одновременно использовать подключение к нескольким интернет-провайдерам и балансировать их нагрузку невозможно.

Это устройства разных классов, сравнивать их бессмысленно.

Я замечал. И то и другое. Только я не стал бы называть Магнит производственной средой. На действительном производстве господствуют различные вариации cisco, moxa и иже с ними.

Да, кинетик последнее время стал уметь многое, что раньше мог только Микротик/ZyWall/DFL, т.е. устройства, изначально заточенные не под SOHO, а под вполне себе средний бизнес с филиальной сетью и т.д. А ешё на него можно поставить какой-нибудь *WRT и получить ещё больше возможностей (включая установку доп. пакетов).

Но при этом по функциональности микротик до сих пор сильно его опережает. Плюсом к этому, какой-нибудь hAP mini умеет ровно столько же (по функциям), сколько самый мощный CCR. И конфиг переносится элементарно, т.е. проблем с апгрейдом железки не возникает.

При всём уважении к кинетику, как говорится.

Навскидку, у меня несколько вопросов:
1. зачем использовать aggressive вместо main?
2. df-bit copy — не самая удачная идея на туннельных интерфейсах. Во избежание дропов я бы всё-таки скидывал бит dont-fragment
3. Я так и не понял смысла натягивать gre поверх ipsec. Даже если принять во внимание, что микротик не умеет полноценный route-based ipsec, ваше объяснение выглядит немного непонятно.
Если за Juniper сидит вся оставшаяся /16, и трафик к ней нужно добавить в ipsec policy — то на микротике это довольно легко обходится грамотным составлением policy и роутингом (т.е. у вас ipsec encapsulation просто не возникнет: wiki.mikrotik.com/wiki/Manual:Packet_Flow)

4. Ещё есть вопросы, зачем использовать vlan.0 вместо routed-портов, зачем вы разрешаете ospf, если его не используете (или используете?) и почему у вас в конфиге Juniper режим v2-only, если IKEv2 вы использовать не рекомендуете. Но это уже придирки. Наверное 🙂

2. да, эти параметры выставлены, когда создается туннель между Junuper SRX и Juniper SRX, не знаю с чем связанно, но без df-bit copy, туннель но сетевые «шары» периодический отваливаются, туннель между Juniper SSG, NS и Juniper SRX, таких проблем нет. Хотя и в первойм и втором случае параметры выставлены ха обои концах.
3. С IPSec полиси достаточно хорошо разобрались, 152.1 это адрес самого Mikrotik а, и он нужен нам как администраторам, в целом вы правы он не нужен простым обывателям, без него прекрасно все работает.
4. Это мое допущение, прошу прощения. Я достаточно моложавый для таких статей.

V2-Only, у нас работало в это режиме, на стороне Mikrotik, мы изменили параметр а на стороне Juniper забыли.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Рекомендуем к прочтению

pptp mikrotik

lockweek

: 07.06.2013
#: 146,794
: 168

: 1

: 14, 2020 7:46: pptp mikrotik

!

awsswa

: 04.05.2011
#: 130,844
: 464
:

: 8

: 14, 2020 8:33:

_________________
звездочка, freepbx, elastix

Linux, VMware, Микротик

скайп: yarick_perm

asch21

: 24.05.2017
#: 165,500
: 631

: 14, 2020 8:51:

_________________
11
worldpunk1
[+] [+] [+]

: 25.10.2019
#: 172,467
: 137

: 2

: 21, 2020 14:41:

_________________
… …

… …







, (
ТИГРИС
, склиф

: 29.04.2003
#: 5,531
: 18017
:.

: 83

: 21, 2020 14:55: Re: pptp mikrotik

_________________
-? -! -,?!

-,,!

: ТИГРИС (21, 2020 15:00), 2 ()

сокол_из_пепла

: 18.02.2020
#: 173,361
: 251

: 4

: 21, 2020 14:57:

splintorjke
Системные администраторы

: 23.11.2008
#: 73,699
: 7174
:

: 73

: 21, 2020 16:02:

_________________
+0.01 МКП

(。◕‿‿◕。)
worldpunk1
[+] [+] [+]

: 25.10.2019
#: 172,467
: 137

: 2

: 21, 2020 16:15:

GarriAD

: 16.03.2018
#: 167,880
: 135

: 27, 2020 13:08:

!
.
optimism.ru

GRE Tunnel — Центр поддержки и поддержки Ubiquiti Networks

Читатели узнают, как создать туннель GRE (Generic Routing Encapsulation) на EdgeRouter.

ПРИМЕЧАНИЯ И ТРЕБОВАНИЯ:

  • Применимо к последней версии прошивки на всех моделях EdgeRouter.

Настройка туннеля GRE

Туннель GRE будет использоваться для маршрутизации трафика между сетями 192.168.1.0/24 и 172.16.1.0/24.

Чтобы настроить туннель GRE на обоих маршрутизаторах, выполните следующие действия:

CLI: Доступ к интерфейсу командной строки на ER-L с помощью SSH.

1.Войдите в режим конфигурации.

 настроить 

2. Создайте туннельный интерфейс и определите локальные и удаленные конечные точки туннеля.

 установить интерфейсы туннель tun0 local-ip 203.0.113.1 
установить интерфейсы туннель tun0 remote-ip 192.0.2.1

3. Определите метод инкапсуляции туннеля.

 установить интерфейсы туннель tun0 инкапсуляция gre 

4. Определите IP-адрес, связанный с туннелем GRE

 устанавливает туннель интерфейсов, адрес tun0 10.255.12,1 / 30 

5. Создайте статический маршрут для удаленной подсети.

 установить протоколы static interface-route 172.16.1.0/24 next-hop-interface tun0 

6. Зафиксируйте изменения и сохраните конфигурацию.

 commit; экономия 

CLI: Доступ к интерфейсу командной строки на ER-R с помощью SSH.

1. Войдите в режим настройки.

 настроить 

2. Создайте туннельный интерфейс и определите локальные и удаленные конечные точки туннеля.

 установить туннель интерфейсов tun0 local-ip 192.0.2.1 
установить интерфейсы туннель tun0 remote-ip 203.0.113.1

3. Определите метод инкапсуляции туннеля.

 установить интерфейсы туннель tun0 инкапсуляция gre 

4. Определите IP-адрес, связанный с туннелем GRE

 установить интерфейсы туннель адрес tun0 10.255.12.2/30 

5. Создайте статический маршрут для удаленной подсети.

 установить протоколы static interface-route 192.168.1.0/24 next-hop-interface tun0 

6. Зафиксируйте изменения и сохраните конфигурацию.

 commit; экономия 

ПРИМЕЧАНИЕ. Туннель GRE также может быть маршрутизирован через VPN-соединение типа «сеть-сеть» на основе политик. Для этого создайте интерфейсы обратной связи и обменивайтесь локальными и удаленными IP-адресами туннеля GRE с помощью IPsec.

Статьи по теме

EdgeRouter — туннель уровня 2 EoGRE

EdgeRouter — Site-to-Site IPsec VPN на основе политик

Введение в сеть — Как установить соединение с помощью SSH

Была ли эта статья полезной?

да
Нет

0 «> X нашел это
статья полезная

3 из 6 считают это полезным

GRE Tunnel Keepalive — Cisco

Введение

В этом документе объясняется, что такое пакеты поддержки активности Generic Routing Encapsulation (GRE) и как они работают.

Примечание : Сообщения поддержки активности GRE не поддерживаются вместе с защитой туннеля IPsec ни при каких обстоятельствах. В этом документе обсуждается этот вопрос.

Туннели GRE

Туннель GRE — это логический интерфейс на маршрутизаторе Cisco, который обеспечивает способ инкапсуляции пассажирских пакетов внутри транспортного протокола. Это архитектура, предназначенная для предоставления услуг для реализации схемы инкапсуляции точка-точка.

Туннели

GRE полностью не имеют состояния.Это означает, что каждая конечная точка туннеля не хранит никакой информации о состоянии или доступности удаленной конечной точки туннеля. Следствием этого является то, что маршрутизатор конечной точки локального туннеля не имеет возможности отключить линейный протокол интерфейса туннеля GRE, если удаленный конец туннеля недоступен. Возможность пометить интерфейс как неработающий, когда удаленный конец канала недоступен, используется для удаления любых маршрутов (в частности, статических маршрутов) в таблице маршрутизации, которые используют этот интерфейс в качестве исходящего интерфейса.В частности, если линейный протокол интерфейса изменен на неработающий, то любые статические маршруты, указывающие на этот интерфейс, удаляются из таблицы маршрутизации. Это позволяет установить альтернативный (плавающий) статический маршрут или маршрутизацию на основе политик (PBR) для выбора альтернативного следующего перехода или интерфейса.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *