mikrotik + gre + ipsec + ospf с резервом

Тема в разделе "Вопросы начинающих", создана пользователем Twin, 12 июл 2019.

  1. Twin

    Twin Новый участник

    Доброго всем дня.

    Недавно столкнулся с задачей и бьюсь с ней уже вторую неделю. Надежда покинула меня и я решил
    обратиться за помощью к знатокам и гуру.

    Естественно я перерыл почти весь инет в поисках моей проблемы, но так и не нашёл решения.

    Описание:
    В неком городе есть головная компания и её 4-ре офиса, так же разбросанные по этому городу.
    Во всех этих конторах присутствуют два независимых провайдера, которые предоставляют услугу передачи данных (L2 VPN), которые в свою очередь не пересекаются и не могут видеть друг друга (по аналогии двух физических линков подключенных между двумя микротиками).
    Топология сети между микротиками - фул мэш. Во вложении прилагается более подробная схема сети.

    Я здраво понимаю что провайдеры уже предоставляют L2VPN, но как ит-шник старой закалки страдаю "паранойей", и так как было пару неприятных инцидентов, когда провайдер на наш влан вешал стороннюю организацию и в сети была каша, было принято решение поднимать gre туннели между микротиками на обоих провайдерах. То есть получается два gre туннеля между двумя микротиками, а так как микротиков 5-ть штук, то и туннелей между ними на каждом микротике будет 8-мь штук.

    Туннели я поднял, но когда начал поднимать внутри gre туннеля ipsec, вот тут и начались проблемы.
    Так как в IP - Policy явно указать можно только одно соединение с src.address и dst.address то при прописывании второго полиси для второго туннеля gre запись становится не активной и выделяется красным(Вложение 2).
    Я предполагаю что я где то чего то не до понимаю, и прошу в связи с этим помощи.

    А далее хотелось бы организовать маршрутизацию между микротиками посредством ospf, где тоже не так все гладко при использовании gre туннелей.

    Буду благодарен всем кто может помочь в решении проблем.
     

    Вложения:

    • network.gif
      network.gif
      Размер файла:
      139,4 КБ
      Просмотров:
      31
    • ip_address.gif
      ip_address.gif
      Размер файла:
      10,7 КБ
      Просмотров:
      25
    • ipsec_policy.gif
      ipsec_policy.gif
      Размер файла:
      48,2 КБ
      Просмотров:
      26
    • gre.gif
      gre.gif
      Размер файла:
      67,7 КБ
      Просмотров:
      22
  2. alexei1977

    alexei1977 Участник

    Добрый день.
    Не совсем понятно зачем Вы в Src.address и Dst.address выставляете подсети, а не адреса на конце туннеля.
    При создании Gre туннеля, Policies создаётся автоматически, если Вы укажете IP Secret.
     
    Последнее редактирование: 12 июл 2019
  3. Twin

    Twin Новый участник

    Настройки IPSec-а делал по мануалу без автоматического создания полиси. потому что используются не ipsecret а сертификаты. И в полиси использую туннельный режим, так как при автоматическом создании его выставить невозможно.
     
    Последнее редактирование: 12 июл 2019
  4. Twin

    Twin Новый участник

    Ни у кого нет ни каких соображений ?
     
  5. Twin

    Twin Новый участник

    Очень жаль что никто не может помочь. Думаю тему можно закрывать, ....
     
  6. alexei1977

    alexei1977 Участник

    Я же Вам писал
     
  7. zvideoz

    zvideoz Новый участник

    Десятый форум и ответа нет... Потому что лепить микротик с микротиком просто, а лепить его с другими брендами? чистый IPSEC хоть как то работает, но вот оказалось только с одним туннелем. Нужно смериться, что микротик в ядре сети не будет установлен и для того чтобы он продавался нужно искать решения по его интеграции с другими брендами.
     
  8. Tycoon

    Tycoon Участник

    Микротики оборудование копеечное, по сравнению с другими, по этому ставят с обоих сторон и не парятся.
     
  9. Pavel N

    Pavel N Участник

    а в чем проблема ? с тем, что с одним адресом IP SEC строит в реализации микротика один туннель и не строит второй ? да .. для IKE v1 это так а для IKEv2 нет - допускаются множественные туннели вплоть до того что абоненты туннелей могут быть в сером пространстве провайдера и выходить в мир через единственный адрес провайдера не зная об этом
    Но я так понимаю что это ограничение не микротика а технологического стандарта IP SEC IKEv1 которое было расширено и изменено в IKE v2
    Постройте туннели с IKE v2 и окажется их не один ...