IPsec/Addresses/GRE Tunnel/Tunnel

GRE over IPsec

Опубликовано Автор: WinBox

Если на обоих сторонах есть статический белый IP адрес, то можно, скорее даже нужно использовать GRE.

Использовать или не использовать IPsec зависит от мощности устройства и типа передаваемой информации.

Заказав настройку MikroTik, вы получите 100% проработанное решение от опытного сетевого инженера.

Если устройство не поддерживает аппаратный IPsec, то процессор почти всегда будет загружен на 100%. Если информация передается не важная, например видеотрафик с камер или зашифрованные соединения, например SSH, то шифровать не имеет смысла.

Для домашнего использования и небольших офисов рекомендую hAP AC2.
Для крупных офисов RB4011 и выше.

WireGuard как замена GRE over IPsec

Легенда

Имеется 2 офиса с MikroTik, сети которых нужно соединить.

Офис 1 имеет белый IP 1.1.1.2 через PPPoE, адресация офиса 192.168.44.0/24
Офис 2 имеет белый IP 2.2.2.2 через IPoE, адресация офиса 172.16.0.0/24

Настройка GRE

Настройка GRE с IPsec
Interfaces -> GRE Tunnel
На 1 стороне создаем подключение, где указываем:
Local Address: IP адрес с которого подымаем соединение
Remote Address: IP адрес до которого подымаем соединение
IPsec Secret: пароль для шифрования GRE
Keepalite: проверка жизни канала. 3 раза через 3 секунды
Так же нужно подобрать значение MTU. Для разных соединений оно отличается, с двух сторон должно быть одинаковым
/interface gre
add allow-fast-path=no ipsec-secret=12345678 keepalive=3s,3 local-address=1.1.1.2 mtu=1380 name=GRE_WAN1 remote-address=2.2.2.2
Настройка GRE с IPsec
Аналогично настройке выше.
/interface gre
add allow-fast-path=no ipsec-secret=12345678 keepalive=3s,3 local-address=2.2.2.2 mtu=1380 name=GRE_WAN1 remote-address=1.1.1.2

В данном примере 1 провайдер PPPoE, 2 провайдер IPoE, MTU я выставил 1380

IPsec динамическая политика
IP -> IPsec можно увидеть как динамически создаются правила для шифрования GRE
На основе этих правил можно сделать IPsec на сертификатах

IP адресация на GRE

Нужно повесить IP адреса на созданные GRE интерфейсы
Использовать нужно /32 маску, так как участвуют только 2 стороны.

GRE ip адресация
На 1 стороне
172.29.255.2/32
172.29.255.1/32
/ip address
add address=172.29.255.2 interface=GRE_WAN1 network=172.29.255.1
GRE IP адресация
На 2 стороне
172.29.255.1/32
172.29.255.2/32
/ip address
add address=172.29.255.1 interface=GRE_WAN1 network=172.29.255.2

Проверим как проходит ICMP

ping 172.29.255.1
ping 172.29.255.2

Если ping не проходит, нужно разрешить ICMP в firewall и проверить еще раз.

Статическая маршрутизация
IPsec Transport
WinBox
Этот веб-сайт использует файлы cookie для улучшения пользовательского опыта. Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie.