Все потоки
Поиск
Редактировать
Обновить
0
Карма
@akmavi

Пользователь

1
Подписчики
Отправить сообщение
ПрофильСтатьиПостыНовостиКомментарии3
Настройка IPsec GRE туннель между FortiOS 6.4.5 и RouterOS 6.48.1
Для оспф, можно отдельно выставлять mtu, ну или ospf mtu ignor
Комментарий пока не оценивали0
Посмотреть
Настройка IPsec GRE туннель между FortiOS 6.4.5 и RouterOS 6.48.1
/interface bridge
add name=Lo-GRE2-src

/ip address 
add address=172.31.0.229 interface=Lo-GRE2-src network=172.31.0.229

/ip ipsec peer
add address=X.X.X.X/32 local-address=172.31.0.229 name=gre2-fgt profile=fgt-aes256-sha256

/ip ipsec policy
add dst-address=172.31.0.239/32 peer=gre2-fgt proposal=fgt-aes256-sha256-ph2 protocol=gre sa-dst-address=\
    X.X.X.X sa-src-address=172.31.0.229 src-address=172.31.0.229/32 tunnel=yes

/interface gre
add !keepalive local-address=172.31.0.229 name=GRE2-to-FGT remote-address=172.31.0.239

/ip route
add comment=WAN2-Table distance=1 gateway=z.z.z.z routing-mark=WAN2
/ip route rule
add action=lookup-only-in-table src-address=172.31.0.229/32 table=WAN2

/ip firewall mangle
add action=mark-connection chain=prerouting comment=WAN2 connection-mark=no-mark in-interface=ether5 new-connection-mark=con-WAN2 passthrough=yes
add action=mark-routing chain=prerouting comment=WAN2 connection-mark=con-WAN2 in-interface-list=!WAN new-routing-mark=WAN2 passthrough=yes
add action=mark-routing chain=output comment=con-WAN2 connection-mark=con-WAN2 new-routing-mark=WAN2 passthrough=yes


ip route rule — чтобы выходил только через таблицу «маршрутизации» WAN2
Комментарий пока не оценивали0
Посмотреть
Настройка IPsec GRE туннель между FortiOS 6.4.5 и RouterOS 6.48.1
Решал аналогичную задачу.
На стороне HQ для phase1-interface сконфигурировал динамический

config vpn ipsec phase1-interface
  edit "Dynamic-phase1"
    set type dynamic


phase2-interface создавал для каждого отделения 
edit "phase2-1st"
        set phase1name "Dynamic-phase1"
        set protocol 47
        set src-addr-type ip
        set dst-addr-type ip
        set src-start-ip <GRE source IP>
        set dst-start-ip <GRE dest IP-1>
    next

edit "phase2-2nd"
        set phase1name "Dynamic-phase1"
        set protocol 47
        set src-addr-type ip
        set dst-addr-type ip
        set src-start-ip <GRE source IP>
        set dst-start-ip <GRE dest IP-2>
    next


Преимущества:
1. фаза 1 одна, для всех бренчей (меньше конфигурации)
2. статик-роут для транспортного адреса «gre-tunnel remote-gw» добавляется автоматически в момент установления IPSec тунеля.
Недостаток — один пароль для всех бренчей

Со стороны микротика IPSec / GRE инициировал со специально созданных для этих целей лупбеков.
Преимущество:
1. с одного микрота можно поднять два тунеля в сторону HQ через разных провайдеров
2. не обязательно в бранче «публичный+статический адрес от провайдера», работает через NAT-T
Комментарий пока не оценивали0
Посмотреть

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2026, Habr