Как стать автором
Поиск
Написать публикацию
Обновить

Настройка IPsec GRE туннель между FortiOS 6.4.5 и RouterOS 6.48.1

Время на прочтение6 мин
Количество просмотров23K
IT-инфраструктура*Сетевое оборудованиеСетевые технологии*Системное администрирование*Удалённая работа
Из песочницы
Всего голосов 4: ↑3 и ↓1+6
Комментарии8

Комментарии 8

Через неделю у микротика перестает ходить трафик по gre. Помогает только ребут микротика. Стабильная ветка.

Рейтинг скрыт
У себя не замечал, при том что разные версии RouterOS. MTU менялось через пару дней и переставала работать динамическая маршрутизация OSPF, подправлял со стороны Fortigate и все работает уже как полгода.
Рейтинг скрыт
Для оспф, можно отдельно выставлять mtu, ну или ospf mtu ignor
Рейтинг скрыт

Да, я так и делал. Хотел в следующей статье рассказать, кстати ospf mtu ignor в основном не помогал, сработал один раз, а вот выставив mtu на интерфейсах ospf, отрабатывает на ура.

Рейтинг скрыт
Решал аналогичную задачу.
На стороне HQ для phase1-interface сконфигурировал динамический

config vpn ipsec phase1-interface
  edit "Dynamic-phase1"
    set type dynamic


phase2-interface создавал для каждого отделения 
edit "phase2-1st"
        set phase1name "Dynamic-phase1"
        set protocol 47
        set src-addr-type ip
        set dst-addr-type ip
        set src-start-ip <GRE source IP>
        set dst-start-ip <GRE dest IP-1>
    next

edit "phase2-2nd"
        set phase1name "Dynamic-phase1"
        set protocol 47
        set src-addr-type ip
        set dst-addr-type ip
        set src-start-ip <GRE source IP>
        set dst-start-ip <GRE dest IP-2>
    next


Преимущества:
1. фаза 1 одна, для всех бренчей (меньше конфигурации)
2. статик-роут для транспортного адреса «gre-tunnel remote-gw» добавляется автоматически в момент установления IPSec тунеля.
Недостаток — один пароль для всех бренчей

Со стороны микротика IPSec / GRE инициировал со специально созданных для этих целей лупбеков.
Преимущество:
1. с одного микрота можно поднять два тунеля в сторону HQ через разных провайдеров
2. не обязательно в бранче «публичный+статический адрес от провайдера», работает через NAT-T
Рейтинг скрыт
Интересное решение, как раз ломал голову над такой задачей. Спасибо. А как привязывали лупбеки к IPsec/GRE?
Рейтинг скрыт
/interface bridge
add name=Lo-GRE2-src

/ip address 
add address=172.31.0.229 interface=Lo-GRE2-src network=172.31.0.229

/ip ipsec peer
add address=X.X.X.X/32 local-address=172.31.0.229 name=gre2-fgt profile=fgt-aes256-sha256

/ip ipsec policy
add dst-address=172.31.0.239/32 peer=gre2-fgt proposal=fgt-aes256-sha256-ph2 protocol=gre sa-dst-address=\
    X.X.X.X sa-src-address=172.31.0.229 src-address=172.31.0.229/32 tunnel=yes

/interface gre
add !keepalive local-address=172.31.0.229 name=GRE2-to-FGT remote-address=172.31.0.239

/ip route
add comment=WAN2-Table distance=1 gateway=z.z.z.z routing-mark=WAN2
/ip route rule
add action=lookup-only-in-table src-address=172.31.0.229/32 table=WAN2

/ip firewall mangle
add action=mark-connection chain=prerouting comment=WAN2 connection-mark=no-mark in-interface=ether5 new-connection-mark=con-WAN2 passthrough=yes
add action=mark-routing chain=prerouting comment=WAN2 connection-mark=con-WAN2 in-interface-list=!WAN new-routing-mark=WAN2 passthrough=yes
add action=mark-routing chain=output comment=con-WAN2 connection-mark=con-WAN2 new-routing-mark=WAN2 passthrough=yes


ip route rule — чтобы выходил только через таблицу «маршрутизации» WAN2
Рейтинг скрыт

Спасибо, буду пробывать.

Рейтинг скрыт
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr