Mikrotik - IPsec routing

vfko

Mikrotik - IPsec routing
« kdy: 21. 11. 2023, 22:08:58 »
Zdravím,

o IPsec toho moc nevím a potřeboval bych něco vysvětlit. Dvě pobočky (ČR -> Itálie) jsou propojené pomocí IPsec. V ČR jsou v Policies nastavený dvě pravidla, kdy src. addr je lokální rozsah a dst. addr je rozsah v Itálii. Nyní si vymysleli, že chtějí přidat všechny neveřejné rozsahy, aby to v budoucnu už nemuseli řešit.

Moje predikce byla, že to nevadí, protože lokálně to upřednostní užší subnety v routovací tabulce. Jenomže jakmile nastavím v IPsec Policies dst. addr 192.168.0.0/16, odpojí mě to od routeru a přes IP adresu už se do něj nedostanu ani ho nepingnu, pouze přes MAC adresu.

Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?

Díky za objasnění.

Router: RB4011iGS+ v7.11.2
« Poslední změna: 21. 11. 2023, 22:14:08 od vfko »


Re:Mikrotik - IPsec routing
« Odpověď #1 kdy: 21. 11. 2023, 22:16:00 »
Díky žes nám poslal konfiguraci abychom nemuseli hledat křišťálovou kouli.

5nik

  • ***
  • 133
    • Zobrazit profil
    • E-mail
Re:Mikrotik - IPsec routing
« Odpověď #2 kdy: 21. 11. 2023, 22:30:44 »
Dle https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS by IPsec policy měl vstupovat do hry až po routingu.

M_D

  • ****
  • 322
    • Zobrazit profil
    • E-mail
Re:Mikrotik - IPsec routing
« Odpověď #3 kdy: 21. 11. 2023, 23:32:40 »
Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?
Ne, funguje to obráceně. Prvně musí existovat nějaké routovací pravidlo, které řekne, že daný paket je někam routovatelný (obvykle zajistí default routa). Až proběhne rozhodnutí, že je paket někam routovatelný, tak dojde ke korekci routovacího rozhodnutí na základě IPsec policy, který routovací rozhodnutí změní na únos do IPsec tunelu. :-)
Přidej si policy, kde src segment  bude lokální síť a jako dst bude lokální IP routeru a pro něj action=none.

vfko

Re:Mikrotik - IPsec routing
« Odpověď #4 kdy: 22. 11. 2023, 12:21:52 »
Je to tak, že IPsec spolkne všechen provoz dřív, než se dostane ke standardnímu routingu?
Ne, funguje to obráceně. Prvně musí existovat nějaké routovací pravidlo, které řekne, že daný paket je někam routovatelný (obvykle zajistí default routa). Až proběhne rozhodnutí, že je paket někam routovatelný, tak dojde ke korekci routovacího rozhodnutí na základě IPsec policy, který routovací rozhodnutí změní na únos do IPsec tunelu. :-)
Přidej si policy, kde src segment  bude lokální síť a jako dst bude lokální IP routeru a pro něj action=none.

Super, díky za objasnění.