PT
Чего не зватает?
Size: a a a
2020 May 11
PT
*не хватает?
VP
Вы понимаете, в принципе, что и какими способами делает айписек в реализации на микротике?
VP
Принципы там предельно простые.
PT
Ну ок. 2 устройства сначала создают канал 1 (фаза 1) где согласовывают ключи для канала передачи настроек и ключей канала передачи данных (фаза 2). Потом по этому каналу бегает другой трафик который мы туда направим.
VP
Petr Очень грубо говоря айписек только шифрует трафик между парой пиров. На микротике он не создает туннельного интерфейса, не смотря на наличие туннельного режима. Т.е. в вашем случае по схеме совсем не понятно какие 4 пары пиров Вы хотите шифровать?
PT
Вот чтобы прям по полочкам вероятно нет. Настроил ipsec Ike 2, понял где что и зачем в настройках ipsec
VP
ike1/ike2 - это протоколы обмена ключами. За "туннель" отвечает esp/ah. Речь не о том, речь о принципе.
PT
ок. Пиры следующие
3.3.3.2 <—> 1.1.1.2
3.3.3.2 <—> 2.2.2.2
192.168.255.253 <—> 1.1.1.2
192.168.255.253 <—> 2.2.2.2
3.3.3.2 <—> 1.1.1.2
3.3.3.2 <—> 2.2.2.2
192.168.255.253 <—> 1.1.1.2
192.168.255.253 <—> 2.2.2.2
PT
VP
Тогда все просто. 1112 и 2222 - в режим респондера и создания динамических политик. А с другой стороны туннельный режим и нужные политики.
P.S. из одинаковых политик сработает только первая по списку.
P.S. из одинаковых политик сработает только первая по списку.
VP
Petr Но в Вашем случае, напрашивается не чистый айписек, а поверх туннелей с интерфейсами и какой-нибудь ospf
PT
кто внутри будет ходить? То есть внутри ipsec зупустить ip-ip?
PT
ну ок
VP
Это вопрос филологический, а не технический) По дефолту айписеком шифруется трафик, который предварительно инкапсулирован одним из туннелей.
PT
ок. То есть внешний мир видит только IPsec
PT
правильно?
PT
Эх, пойду ману курить
VP
M
)