Добрый день! строим туннель между cisco и routeros на базе rb1200 если в политике destination указываем 1 хост и аналогично на cisco в ACL также - туннель работает если указываем одинаковые сегменты сети например 10.0.0.0/25 с обоих сторон - также работает, но у наших партнеров на cisco в ACL 2 хоста которые не возможно описать одним сегментом сети например 10.221.7.9 и 10.221.7.165 и всю сеть 10.221.7.0/24 они не хотят нам открывать. я пробовал создавать 2 политики и каждый хост указывать в качестве destination и 0.0.0.0/0 указывать в качестве destination, но в такой конфигурации не поднимается вторая фаза в логах получаю сообщение notification message 18:INVALID-ID-INFORMATION, doi=1 proto_id=3 spi=00000000(size=4). что говорит о несовпадении сегментов адресуемой сети. как это можно победить? [admin@Router1] > system routerboard print routerboard: yes model: 1200 serial-number: 306F0279BB5D firmware-type: amcc460 factory-firmware: 2.38 current-firmware: 3.10 upgrade-firmware: 3.10 [admin@Router1] > system package print brief Flags: X - disabled # NAME VERSION SCHEDULED 0 dhcp 6.37.1 1 mpls 6.37.1 2 X hotspot 6.37.1 3 X calea 6.37.1 4 multicast 6.37.1 5 X gps 6.37.1 6 advanced-tools 6.37.1 7 openflow 6.37.1 8 ppp 6.37.1 9 routing 6.37.1 10 user-manager 6.37.1 11 security 6.37.1 12 ntp 6.37.1 13 ipv6 6.37.1 14 ups 6.37.1 15 system 6.37.1 [admin@Router1] > ip ipsec peer print ... 2 ;;; Partners address=XXX.XXX.XXX.XXX/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="SECRETKEY" generate-policy=port-override policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=7h46m40s lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 ... [admin@Router1] > ip ipsec remote-peers print 0 local-address=YYY.YYY.YYY.YYY remote-address=XXX.XXX.XXX.XXX state=established side=initiator established=5s ... [admin@Router1] > ip ipsec policy print ... 8 ;;; Partner host1 src-address=10.92.1.1/32 src-port=any dst-address=10.221.7.165/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=YYY.YYY.YYY.YYY sa-dst-address=XXX.XXX.XXX.XXX proposal=sha_3des_nh_gn priority=0 9 ;;; Partner host2 src-address=10.92.1.1/32 src-port=any dst-address=10.221.7.9/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=YYY.YYY.YYY.YYY sa-dst-address=XXX.XXX.XXX.XXX proposal=sha_3des_nh_gn priority=0 [admin@Router1] > ip ipsec proposal print ... 2 name="sha_3des_nh_gn" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=none ... когда пингую один из хостов - начинает подниматься вторая фаза появляется SA в состоянии LARVAL [admin@Router1] > ip ipsec installed-sa print ... 6 E spi=0 src-address=YYY.YYY.YYY.YYY:8 dst-address=XXX.XXX.XXX.XXX state=larval add-lifetime=0s/30s replay=0
Дело в том, что у поставщика услуг к которму мы подключаемся - установленная схема подключения и они со своей стороны не будут для нас поднимать GRE. Единственный способ, который мы смогли с ними реализовать - это добавить большой сегмент в политику (в который будут входить все необходимы хосты) и другим ACL на стороне cisco резать пакеты на узлы не разрешенные для нас. Вопрос был в другом! правильно ли мы настраиваем ipsec на микротике? и есть ли способ задавать несколько сегментов (хостов) в 1ой политике?
Видимо да. Чуть позже гляну ))) Из вашего конфига. Если 3Des поменять на AES256 получите примерно 3-кратную разницу в производительности.
Производительность не критична на данном этапе работы, трафик не большой - на загрузке CPU почти не сказывается. ну и это стандартный параметр для дальней стороны - опять могут отправить в свою службу безопасности с таким запросом ) так, что берем то что дают ))