1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Mikrotik - IPsec routing
« předchozí další »
Stran: [1]

Mikrotik - IPsec routing

  • 4 Odpovědí
  • 1853 Zhlédnutí

vfko

Mikrotik - IPsec routing
« kdy: 21. 11. 2023, 22:08:58 »
Zdravím,

o IPsec toho moc nevím a potřeboval bych něco vysvětlit. Dvě pobočky (ČR -> Itálie) jsou propojené pomocí IPsec. V ČR jsou v Policies nastavený dvě pravidla, kdy src. addr je lokální rozsah a dst. addr je rozsah v Itálii. Nyní si vymysleli, že chtějí přidat všechny neveřejné rozsahy, aby to v budoucnu už nemuseli řešit.

Moje predikce byla, že to nevadí, protože lokálně to upřednostní užší subnety v routovací tabulce. Jenomže jakmile nastavím v IPsec Policies dst. addr 192.168.0.0/16, odpojí mě to od routeru a přes IP adresu už se do něj nedostanu ani ho nepingnu, pouze přes MAC adresu.

Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?

Díky za objasnění.

Router: RB4011iGS+ v7.11.2
« Poslední změna: 21. 11. 2023, 22:14:08 od vfko »
IP zaznamenána

Reklama

  • * * * * *

Josef Jindra

Re:Mikrotik - IPsec routing
« Odpověď #1 kdy: 21. 11. 2023, 22:16:00 »
Díky žes nám poslal konfiguraci abychom nemuseli hledat křišťálovou kouli.
IP zaznamenána

5nik

  • ***
  • 142
    • Zobrazit profil
    • E-mail
Re:Mikrotik - IPsec routing
« Odpověď #2 kdy: 21. 11. 2023, 22:30:44 »
Dle https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS by IPsec policy měl vstupovat do hry až po routingu.
IP zaznamenána

M_D

  • ****
  • 348
    • Zobrazit profil
    • E-mail
Re:Mikrotik - IPsec routing
« Odpověď #3 kdy: 21. 11. 2023, 23:32:40 »
Citace: vfko  21. 11. 2023, 22:08:58
Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?
Ne, funguje to obráceně. Prvně musí existovat nějaké routovací pravidlo, které řekne, že daný paket je někam routovatelný (obvykle zajistí default routa). Až proběhne rozhodnutí, že je paket někam routovatelný, tak dojde ke korekci routovacího rozhodnutí na základě IPsec policy, který routovací rozhodnutí změní na únos do IPsec tunelu. :-)
Přidej si policy, kde src segment  bude lokální síť a jako dst bude lokální IP routeru a pro něj action=none.
IP zaznamenána

vfko

Re:Mikrotik - IPsec routing
« Odpověď #4 kdy: 22. 11. 2023, 12:21:52 »
Citace: M_D  21. 11. 2023, 23:32:40
Citace: vfko  21. 11. 2023, 22:08:58
Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?
Ne, funguje to obráceně. Prvně musí existovat nějaké routovací pravidlo, které řekne, že daný paket je někam routovatelný (obvykle zajistí default routa). Až proběhne rozhodnutí, že je paket někam routovatelný, tak dojde ke korekci routovacího rozhodnutí na základě IPsec policy, který routovací rozhodnutí změní na únos do IPsec tunelu. :-)
Přidej si policy, kde src segment  bude lokální síť a jako dst bude lokální IP routeru a pro něj action=none.

Super, díky za objasnění.
IP zaznamenána

Reklama

  • * * * * *
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Mikrotik - IPsec routing