Комментарии 12
modp2048
А почему так мало? Оно конечно сойдёт, но почему сразу не ecp521 или циска больше не умеет?
Циска умеет.
Я решил, что больше и не надо. Опять же, насколько я понимаю - чем серьезнее алгоритм, тем больше нагрузка. А у Микротика при 250мб\с загрузке через туннель идет 85% загрузка процессора.
DH используется только при смене ключей и существенно на производительность трафика не влияют
Ну так и должно быть. По спецификациям https://mikrotik.com/product/hex_s#fndtn-testresults 350+ мегабит тянет.
А какие настройки ставить чтобы аппаратное шифрование не вырубилось смотреть здесь https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
как видите группы DF на это не влияют.
Изначально нам нужно убедиться, что обе наши стороны имеют "белый" маршрутизируемый ip адрес.
Ну вот, а я уже обрадовался :( На ASA мне удалось настроить IPSec без белых IP на стороне микротиков. Они опознаются по FQDN. Но я не уверен на 100%, что это правильно работает.
Теоретически, все это можно прокинуть через NAT, если устройство находится внутри сети, но это осложняет конфигурацию, а еще далеко не все провайдеры позволяют one-to-one NAT в наше время.
В смысле "провайдеры"?
Они опознаются по FQDN. Но я не уверен на 100%, что это правильно работает.
Если я правильно понимаю, то вы используете DDNS чтобы попасть на Микротик. Тогда это возможно без "белого" адреса с его стороны. Но. При условии, что провайдер (или чья это сеть) прокидывает порты для адреса, который резолвится по DDNS. Если он просто NATит изнутри наружу соединения, то туннель с Микротиком не получится поднять. На внешнем адресе просто не будет открыт нужный порт.
Если тик был настроен по умолчанию до начала работ, то настройки фильтрации ната и прерутинга сильно избыточны -- ipsec policy отрабатывается сильно раньше чем правила фильтрации и ната.
Делаем IPsec VPN туннель между Cisco FTD и Mikrotik