RP
Хм, это что-то хитрое, даже не могу сходу представить
Size: a a a
2021 April 15
SM
Вощьпем, сделать сейчас, в рабочее время, свой полиси со своим прешаред и шлюхами не имеется вожможность, ибо сейчас в настройках л2тп жёстко прошит ключик и только с ним работает айписец. Сие есть не гуд, я не доволен, но куда деваться. Буду посмотреть потом.
AZ
А VTI разве не добавляет интерфейс?
RP
Добавляет, но не меняет суть работы IPSec фреймворка
AZ
Тогда почему он не туннельный?
VP
В туннельном режиме на этапе роут десижен пакет получит в качестве out-interface тот интерфейс, через который смотрит пир, И этот интерфейс может отличаться от того, через который ведет таблица маршрутизации.
AZ
Да норм. После протоколов с виртуальными интерфейсами кажется дико и непонятно, но я за 2-3 дня разобрался с нулевым понимаем работы IPsec, когда соединял AWS с микротиком. Там уже больше гемморой с AWS был и его настройками. Микротик-микротик за полдня настраивается. Притом что я не сетевик и не админ, но любительско-профессиональный бэкграунд имелся
VP
Насколько я понял из Вашего описания, у Вас и в центре и на филиалах белые IP. Если это так, то Вы можете спокойно построить отдельные туннели параллельно с l2tp и уже по факту переключить маршрутизацию.
A
Так и работает.
A
Да, там, по сути, отдельные правила форвардинга для ipsec-трафика и двойное пропускание через сетевой стек (включая роутинг и фаервол): отдельно в за-ipsec-ченом виде, отдельно — в раз-ipsec-ченом.
SM
Да, ип везде белые. Всё работает.
Я пытался настроить ещё связи между офисами, при этом не усложняя. Ну зачем параллельно с л2тп ещё опенвпн или сстп (тут не хорошо с 443 портом) поднимать. Есть готовый л2тп, но, как оказалось, если в настройках сервера прописан ипсек прешаред, то он подебил все остальные политики и настройки ипсек.
Я пытался настроить ещё связи между офисами, при этом не усложняя. Ну зачем параллельно с л2тп ещё опенвпн или сстп (тут не хорошо с 443 портом) поднимать. Есть готовый л2тп, но, как оказалось, если в настройках сервера прописан ипсек прешаред, то он подебил все остальные политики и настройки ипсек.
VP
В Вашей ситуации разумно настроить ipip/ipsec - будет меньше оверхэд
RP
A tunnel mode SA is essentially an SA applied to an IP tunnel, with the access controls applied to the headers of the traffic inside the tunnel. Two hosts MAY establish a tunnel mode SA between themselves.
Aside from the two exceptions below, whenever either end of a security association is a security gateway, the SA MUST be tunnel mode. Thus, an SA between two security gateways is typically a tunnel mode SA, as is an SA between a host and a security gateway. The two exceptions are as follows.SM
То есть мне просто придётся переделать политики, пиры и профили ипсек, разделив клиентские и сайтовые полиси.
RP
Именно в RouterOS?
SM
Посмотрим, что это такое.
VP
В другом я не копенгаген. )
A
Понятие tunnel mode — это часть спецификации ipsec. А vti — это способ взаимостействия ipsec-трафика с системой.
RP
Где там? Какие правила?
AZ
Вопрос уходит в определение туннеля