Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 8
Через неделю у микротика перестает ходить трафик по gre. Помогает только ребут микротика. Стабильная ветка.
Решал аналогичную задачу.
На стороне HQ для phase1-interface сконфигурировал динамический
phase2-interface создавал для каждого отделения
Преимущества:
1. фаза 1 одна, для всех бренчей (меньше конфигурации)
2. статик-роут для транспортного адреса «gre-tunnel remote-gw» добавляется автоматически в момент установления IPSec тунеля.
Недостаток — один пароль для всех бренчей
Со стороны микротика IPSec / GRE инициировал со специально созданных для этих целей лупбеков.
Преимущество:
1. с одного микрота можно поднять два тунеля в сторону HQ через разных провайдеров
2. не обязательно в бранче «публичный+статический адрес от провайдера», работает через NAT-T
На стороне HQ для phase1-interface сконфигурировал динамический
config vpn ipsec phase1-interface
edit "Dynamic-phase1"
set type dynamicphase2-interface создавал для каждого отделения
edit "phase2-1st"
set phase1name "Dynamic-phase1"
set protocol 47
set src-addr-type ip
set dst-addr-type ip
set src-start-ip <GRE source IP>
set dst-start-ip <GRE dest IP-1>
next
edit "phase2-2nd"
set phase1name "Dynamic-phase1"
set protocol 47
set src-addr-type ip
set dst-addr-type ip
set src-start-ip <GRE source IP>
set dst-start-ip <GRE dest IP-2>
nextПреимущества:
1. фаза 1 одна, для всех бренчей (меньше конфигурации)
2. статик-роут для транспортного адреса «gre-tunnel remote-gw» добавляется автоматически в момент установления IPSec тунеля.
Недостаток — один пароль для всех бренчей
Со стороны микротика IPSec / GRE инициировал со специально созданных для этих целей лупбеков.
Преимущество:
1. с одного микрота можно поднять два тунеля в сторону HQ через разных провайдеров
2. не обязательно в бранче «публичный+статический адрес от провайдера», работает через NAT-T
Интересное решение, как раз ломал голову над такой задачей. Спасибо. А как привязывали лупбеки к IPsec/GRE?
/interface bridge
add name=Lo-GRE2-src
/ip address
add address=172.31.0.229 interface=Lo-GRE2-src network=172.31.0.229
/ip ipsec peer
add address=X.X.X.X/32 local-address=172.31.0.229 name=gre2-fgt profile=fgt-aes256-sha256
/ip ipsec policy
add dst-address=172.31.0.239/32 peer=gre2-fgt proposal=fgt-aes256-sha256-ph2 protocol=gre sa-dst-address=\
X.X.X.X sa-src-address=172.31.0.229 src-address=172.31.0.229/32 tunnel=yes
/interface gre
add !keepalive local-address=172.31.0.229 name=GRE2-to-FGT remote-address=172.31.0.239
/ip route
add comment=WAN2-Table distance=1 gateway=z.z.z.z routing-mark=WAN2
/ip route rule
add action=lookup-only-in-table src-address=172.31.0.229/32 table=WAN2
/ip firewall mangle
add action=mark-connection chain=prerouting comment=WAN2 connection-mark=no-mark in-interface=ether5 new-connection-mark=con-WAN2 passthrough=yes
add action=mark-routing chain=prerouting comment=WAN2 connection-mark=con-WAN2 in-interface-list=!WAN new-routing-mark=WAN2 passthrough=yes
add action=mark-routing chain=output comment=con-WAN2 connection-mark=con-WAN2 new-routing-mark=WAN2 passthrough=yes
ip route rule — чтобы выходил только через таблицу «маршрутизации» WAN2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настройка IPsec GRE туннель между FortiOS 6.4.5 и RouterOS 6.48.1