Mikrotik IPsec-esp kérdés [Lezárva]

Hálózatok általános

Sziasztok!

Adott egy cég két irodája. Mindkettőnél Mikrotik RB951G-2HnD router van. Az egyik közvetlen Internet kapcsolattal (intézményen belüli saját publikus cím), a másik ADSL Internet kapcsolat, de fix IP címmel.

Lehet-e a két iroda közt site-to-site kapcsolatot csinálni IPsec-esp-el a két router között?

A válaszokat előre is köszönöm: Nagy Péter
------------------------------------------

Végül az IPSec működik gond nélkül, köszönöm.

  • 1207 megtekintés

( mauzi v | 2016. 10. 25., k – 21:37 )

> intézményen belüli saját publikus cím

Az mi? dinamikus publikus IP?

( ncc1701 | 2016. 10. 25., k – 21:50 )

Nekem leginkább akkor jött össze az ipsec vpn, ha legalább az egyik router közvetlen kilát a netre. Nat traversál ide, vagy oda. Persze lehet, h én vagyok a béna, de többször lett belőle openvpn, az megy mindenhogy.

( wise0tamas | 2016. 10. 26., sze – 08:37 )

A "közvetlen internet kapcsolat" azt jelenti, hogy publikus IP címmel rendelkezik?
Az ADSL kapcsolat is lehet NAT-olt, sajnos, nincs garancia így látatlanban, hogy az tényleg publikus IP cím, viszont egy tesztet végezhetsz:
* megpingeled az egyik RB-ről a másiknak az ismert publikus IP címét, ami a külső interfészén be van állítva,
* ha látja az egyik a másikat, akkor a másik-nak publikus az IP címe,
* ugyanezt elvégzed fordítva is,
* ha mindkettő látja egymást ping-elve (előzetesen engedélyezd a tűzfalukon az ICMP protokoll-t!), akkor az IPsec is (nagyon jó eséllyel) menni fog.

A két belső hálózat, ugye, különböző alhálózatban van? (Pl. az egyik 192.168.99.0/24, a másik 192.168.155.0/24)

Ha minden kötél szakad, a két RB között tcp-alapú OpenVPN is mehet, ha nem fontos a sebesség, csak az elérhetőség.

( an-dee | 2016. 10. 26., sze – 08:48 )

Azt csak el tudjátok dönteni hogy NAT-olt vagy publikus az ip, nem? Márcsak a tartományból/IP-ből.
Ha NAT-oltva van, szerintem csak úgy oldható meg hogy a ő az akív, és a pulikus ip címmel rendelkező a passzív, fordítva nem megy.
Opció, hogy kérsz publikus IP-t.

Kösz az eddigieket.

Az intézmény egy egyetem, amelyik az egyik publikus IP-jét delegálja az irodának. Tehát nem szolgáltató, valamilyen modemmel (ADSL, kábel, stb). Valódi publikus cím.

A másik iroda ADSL modemmel kapcsolódik a szolgáltató hálózatához, és valódi (nem NAT-olt) fix publikus IP-t kap.

Ezeken keresztül kellene a két irodát összekötni. Már csináltam ilyet, de ott egyik oldalt sem volt ADSL, ami a router oldalon PPPoE kapcsolat. Emiatt kérdezem, hogy szerintetek fog-e menni.

A két router látja egymást (ping), a bizonytalanságom az ADSL miatt van, hogy nem okoz-e problémát a forgalomirányításban (tűzfal, átirányítások, route, stb.).

Csinált már valaki ilyet?

Jó, tehát mindkét oldalon publikus IP van, ami ráadásul fix is. Ennél jobb szituáció nem is lehetne. Akkor mi a kérdés?

> Már csináltam ilyet, de ott egyik oldalt sem volt ADSL, ami a router oldalon PPPoE kapcsolat.
> Emiatt kérdezem, hogy szerintetek fog-e menni.

Mi köze van az IPSec-nek a fizikai átvivő közeghez?

Az interfészeken az MTU legyen megfelelően beállítva, illetőleg a MSS clamping legyen beállítva, ahol az MTU kisebb, mint 1500 bájt.

( quash | 2016. 10. 26., sze – 10:49 )

FIX IP oldal:
- létrehozol egy /30-as local subnetet.
- csinálsz egy L2TP szerver-t

Dyn IP:
- L2TP -vel csatlakozol fix oldalra

Igy mindkét oldalnak van már "fix" IP címe (L2Tp local subnet), a két "fix" IP között megcsinálód az IPSec-et.

( 3r1c v | 2016. 10. 26., sze – 12:55 )

Hello,

Ha egyszerűen és jót akarsz csinálni akkor inkább készíts eoip tunnelt és azt pedig ipsec-el. Ennek rengeteg előnye van. pl.:
1. eoip csak mikrotik eszközök ismerik
2. két kattintással rá tudsz húzni egy biztonságos ipsec-et
3. bridge-be tudod rakni
stb...