RP
Добрый день. чем ipip тунель + ipsec плох
Нечем, можно использовать IPIP вместо GRE, если он вам ближе.
Size: a a a
2020 June 23
DK
да в этом то и дело. я знаю много вариантов. хотел услышать мнение какой лучший )
RP
IPIP не позволяет передавать нечего кроме IP протокола, GRE позволяет поместить в него любой протокол.
У IPIP немножко меньше накладные расходы, нет GRE заголовка.
Больше не каких различий нет, для Mikrotik.
У больших брендов бывает аппаратная обработка туннельных протоколов, там может быть разница в производительности инкапсуляции/декапсуляции и так далее.
У IPIP немножко меньше накладные расходы, нет GRE заголовка.
Больше не каких различий нет, для Mikrotik.
У больших брендов бывает аппаратная обработка туннельных протоколов, там может быть разница в производительности инкапсуляции/декапсуляции и так далее.
B
привет всем!
сразу сорян за оффтоп..
кто юзает долбаный ФСС АРМ ЛПУ?
сразу сорян за оффтоп..
кто юзает долбаный ФСС АРМ ЛПУ?
DK
на wiki mikrotik Site to Site IPsec tunnel так понимаю ipsec сразу же свой и туннель поднимает?
DK
z
А /interfaces/vrrp print detail не показывает соседей?
Нет, только mac if prio и статус текущий
RP
Не понял вашего вопроса.
IPsec инкапсулирует IP пакеты в AH или ESP протокол. Интерфейса туннельного в Mikrotik нет.
Mikrotik подерживает только policy based IPSec, routed based IPSec пока не поддерживается.
IPsec инкапсулирует IP пакеты в AH или ESP протокол. Интерфейса туннельного в Mikrotik нет.
Mikrotik подерживает только policy based IPSec, routed based IPSec пока не поддерживается.
IO
Ipsec - это просто правило шифрования траффика. Какого - другой вопрос.
Чаще всего нужно ещё п2п Линк с адресами внутри для роутинга
Чаще всего нужно ещё п2п Линк с адресами внутри для роутинга
DK
Не понял вашего вопроса.
IPsec инкапсулирует IP пакеты в AH или ESP протокол. Интерфейса туннельного в Mikrotik нет.
Mikrotik подерживает только policy based IPSec, routed based IPSec пока не поддерживается.
IPsec инкапсулирует IP пакеты в AH или ESP протокол. Интерфейса туннельного в Mikrotik нет.
Mikrotik подерживает только policy based IPSec, routed based IPSec пока не поддерживается.
RP
z311
Нет, только mac if prio и статус текущий
Хм, интересно
DK
RP
IPSec создаёт туннель без туннеля на Mikrotik.
Нет интерфейса у IPsec (ESP) туннеля в Mikrotik, у других брендов может быть, обычно называется VTI или схоже.
Нет интерфейса у IPsec (ESP) туннеля в Mikrotik, у других брендов может быть, обычно называется VTI или схоже.
IO
да в этом то и дело. я знаю много вариантов. хотел услышать мнение какой лучший )
Нет абсолютно лучшего варианта
DK
IPSec создаёт туннель без туннеля на Mikrotik.
Нет интерфейса у IPsec (ESP) туннеля в Mikrotik, у других брендов может быть, обычно называется VTI или схоже.
Нет интерфейса у IPsec (ESP) туннеля в Mikrotik, у других брендов может быть, обычно называется VTI или схоже.
спс.
IO
Можно создать полиси для шифрования всего траффика, создать /32 маршрут до дальнего конца, потом указать его шлюзом до удаленной сети. Но выгоды от этого не будет по сравнению с шифрованием только udp и поднятием l2tp, попадающего под эту политику
IO
И затем уже маршрутизировать через l2tp
DK
/ip ipsec policy
add src-address=10.1.202.0/24 src-port=any dst-address=10.1.101.0/24 dst-port=any \
tunnel=yes action=encrypt proposal=proposal=ike1-site2 peer=ike1-site2
add src-address=10.1.202.0/24 src-port=any dst-address=10.1.101.0/24 dst-port=any \
tunnel=yes action=encrypt proposal=proposal=ike1-site2 peer=ike1-site2
DK
разве это правило не поднимает туннель
RP
Поднимает, но всё сложнее, чем хотелось бы.