Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: vfko 21. 11. 2023, 22:08:58

Název: Mikrotik - IPsec routing
Přispěvatel: vfko 21. 11. 2023, 22:08:58

Zdravím,

o IPsec toho moc nevím a potřeboval bych něco vysvětlit. Dvě pobočky (ČR -> Itálie) jsou propojené pomocí IPsec. V ČR jsou v Policies nastavený dvě pravidla, kdy src. addr je lokální rozsah a dst. addr je rozsah v Itálii. Nyní si vymysleli, že chtějí přidat všechny neveřejné rozsahy, aby to v budoucnu už nemuseli řešit.

Moje predikce byla, že to nevadí, protože lokálně to upřednostní užší subnety v routovací tabulce. Jenomže jakmile nastavím v IPsec Policies dst. addr 192.168.0.0/16, odpojí mě to od routeru a přes IP adresu už se do něj nedostanu ani ho nepingnu, pouze přes MAC adresu.

Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?

Díky za objasnění.

Router: RB4011iGS+ v7.11.2

Název: Re:Mikrotik - IPsec routing
Přispěvatel: Josef Jindra 21. 11. 2023, 22:16:00

Díky žes nám poslal konfiguraci abychom nemuseli hledat křišťálovou kouli.

Název: Re:Mikrotik - IPsec routing
Přispěvatel: 5nik 21. 11. 2023, 22:30:44

Dle https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS by IPsec policy měl vstupovat do hry až po routingu.

Název: Re:Mikrotik - IPsec routing
Přispěvatel: M_D 21. 11. 2023, 23:32:40

Citace: vfko  21. 11. 2023, 22:08:58

Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?

Ne, funguje to obráceně. Prvně musí existovat nějaké routovací pravidlo, které řekne, že daný paket je někam routovatelný (obvykle zajistí default routa). Až proběhne rozhodnutí, že je paket někam routovatelný, tak dojde ke korekci routovacího rozhodnutí na základě IPsec policy, který routovací rozhodnutí změní na únos do IPsec tunelu. :-)
Přidej si policy, kde src segment  bude lokální síť a jako dst bude lokální IP routeru a pro něj action=none.

Název: Re:Mikrotik - IPsec routing
Přispěvatel: vfko 22. 11. 2023, 12:21:52

Citace: M_D  21. 11. 2023, 23:32:40

Citace: vfko  21. 11. 2023, 22:08:58

Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?

Ne, funguje to obráceně. Prvně musí existovat nějaké routovací pravidlo, které řekne, že daný paket je někam routovatelný (obvykle zajistí default routa). Až proběhne rozhodnutí, že je paket někam routovatelný, tak dojde ke korekci routovacího rozhodnutí na základě IPsec policy, který routovací rozhodnutí změní na únos do IPsec tunelu. :-)
Přidej si policy, kde src segment  bude lokální síť a jako dst bude lokální IP routeru a pro něj action=none.

Super, díky za objasnění.