Добрый день. Имеем следующее: Микротик с белым адресом Микротик с серым адресом (за NAT провайдера) Можно ли между ними поднять чистый ipsec site-to-site с помощью NAT-Traversal? И если можно, то какие будут ограничения? Туннели PPP и белый адрес просьба не рассматривать
Спасибо, а можно не использовать mode config в v2, а использовать IKEv1 с NAT-Traversal? будет работать? Нужен классич site2site, только один из peer с серым ip. На роутере с белым ip в настройках пира выставить Send -initial-contact=no и passive=yes Использовать туннельный режим / esp, скажем подсеть за роутером 1 - 10.10.10.0/24, за роутером 2 - 10.10.20.0/24. Ipsec Policy для полезной нагрузки и будут содержать эти сети в качестве src и dst. Вопросы: 1. как добавить адрес пира? 0.0.0.0/0? 2. И как связать пира с ipsec policy? ???
Илья, не совсем. Не использовать mode config. Все как тут: http://mikrotik.vetriks.ru/wiki/VPN:IPsec_(аутентификация_с_помощью_пароля) Лишь в настройках peer c белым адресом: Peer 0.0.0.0/0 Passive=yes Send_inirtial_contact=no 1. Кстати, чем различаются две последние настройки? 2. Будет ли работать? 3. Надо ли через группу подвязывать template в таком случае? Клиент всего один 4. Что меняет настройка port-strict?
В пире у роутера с белым адресом указать 0.0.0.0/0, passive=yes Создать группу, через нее связать пира и policy. Инициирует соединение всегда роутер с серым адресом. Режим ipsec: tunnel. Как бы очень похоже на l2tp over ipsec. Но без l2tp и mode туннельный, site-to-site. Mode config, как я понимаю, нужен для адресации ike?
Если бы мне поверх туннеля нужна была еще и маршрутизация, я бы конечно использовал l2tp over ipsec или sstp или ikev2 с mode config. А мне нужно просто связать две точки с локальными сетями за ними. То есть по большому счету связь двух отдельных броадкастов, и связь эту в виде туннеля зашифровать на 3 уровне.
