cisco - ipsec - rb1200

Тема в разделе "Общий форум", создана пользователем sevenupers, 11 окт 2016.

  1. sevenupers

    sevenupers Новый участник

    Добрый день!
    строим туннель между cisco и routeros на базе rb1200

    если в политике destination указываем 1 хост и аналогично на cisco в ACL также - туннель работает
    если указываем одинаковые сегменты сети например 10.0.0.0/25 с обоих сторон - также работает,
    но у наших партнеров на cisco в ACL 2 хоста которые не возможно описать одним сегментом сети
    например 10.221.7.9 и 10.221.7.165 и всю сеть 10.221.7.0/24 они не хотят нам открывать.
    я пробовал создавать 2 политики и каждый хост указывать в качестве destination и 0.0.0.0/0 указывать в качестве destination, но в такой конфигурации не поднимается вторая фаза
    в логах получаю сообщение notification message 18:INVALID-ID-INFORMATION, doi=1 proto_id=3 spi=00000000(size=4).
    что говорит о несовпадении сегментов адресуемой сети.
    как это можно победить?

    [admin@Router1] > system routerboard print
    routerboard: yes
    model: 1200
    serial-number: 306F0279BB5D
    firmware-type: amcc460
    factory-firmware: 2.38
    current-firmware: 3.10
    upgrade-firmware: 3.10
    [admin@Router1] > system package print brief
    Flags: X - disabled
    # NAME VERSION SCHEDULED
    0 dhcp 6.37.1
    1 mpls 6.37.1
    2 X hotspot 6.37.1
    3 X calea 6.37.1
    4 multicast 6.37.1
    5 X gps 6.37.1
    6 advanced-tools 6.37.1
    7 openflow 6.37.1
    8 ppp 6.37.1
    9 routing 6.37.1
    10 user-manager 6.37.1
    11 security 6.37.1
    12 ntp 6.37.1
    13 ipv6 6.37.1
    14 ups 6.37.1
    15 system 6.37.1
    [admin@Router1] > ip ipsec peer print
    ...
    2 ;;; Partners
    address=XXX.XXX.XXX.XXX/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="SECRETKEY" generate-policy=port-override
    policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des
    dh-group=modp1024 lifetime=7h46m40s lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
    ...
    [admin@Router1] > ip ipsec remote-peers print
    0 local-address=YYY.YYY.YYY.YYY remote-address=XXX.XXX.XXX.XXX state=established side=initiator established=5s
    ...
    [admin@Router1] > ip ipsec policy print
    ...
    8 ;;; Partner host1
    src-address=10.92.1.1/32 src-port=any dst-address=10.221.7.165/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
    sa-src-address=YYY.YYY.YYY.YYY sa-dst-address=XXX.XXX.XXX.XXX proposal=sha_3des_nh_gn priority=0

    9 ;;; Partner host2
    src-address=10.92.1.1/32 src-port=any dst-address=10.221.7.9/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
    sa-src-address=YYY.YYY.YYY.YYY sa-dst-address=XXX.XXX.XXX.XXX proposal=sha_3des_nh_gn priority=0
    [admin@Router1] > ip ipsec proposal print
    ...
    2 name="sha_3des_nh_gn" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=none
    ...
    когда пингую один из хостов - начинает подниматься вторая фаза появляется SA в состоянии LARVAL
    [admin@Router1] > ip ipsec installed-sa print
    ...
    6 E spi=0 src-address=YYY.YYY.YYY.YYY:8 dst-address=XXX.XXX.XXX.XXX state=larval add-lifetime=0s/30s replay=0
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Здесь проще всего поднять туннель GRE over IPSec и зароутить сети.
     
  3. sevenupers

    sevenupers Новый участник

    Дело в том, что у поставщика услуг к которму мы подключаемся - установленная схема подключения и они со своей стороны не будут для нас поднимать GRE.
    Единственный способ, который мы смогли с ними реализовать - это добавить большой сегмент в политику (в который будут входить все необходимы хосты) и другим ACL на стороне cisco резать пакеты на узлы не разрешенные для нас.

    Вопрос был в другом! правильно ли мы настраиваем ipsec на микротике? и есть ли способ задавать несколько сегментов (хостов) в 1ой политике?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Видимо да. Чуть позже гляну )))
    Из вашего конфига. Если 3Des поменять на AES256 получите примерно 3-кратную разницу в производительности.
     
  5. sevenupers

    sevenupers Новый участник

    Производительность не критична на данном этапе работы, трафик не большой - на загрузке CPU почти не сказывается.
    ну и это стандартный параметр для дальней стороны - опять могут отправить в свою службу безопасности с таким запросом ) так, что берем то что дают ))