Доброго всем дня. Недавно столкнулся с задачей и бьюсь с ней уже вторую неделю. Надежда покинула меня и я решил обратиться за помощью к знатокам и гуру. Естественно я перерыл почти весь инет в поисках моей проблемы, но так и не нашёл решения. Описание: В неком городе есть головная компания и её 4-ре офиса, так же разбросанные по этому городу. Во всех этих конторах присутствуют два независимых провайдера, которые предоставляют услугу передачи данных (L2 VPN), которые в свою очередь не пересекаются и не могут видеть друг друга (по аналогии двух физических линков подключенных между двумя микротиками). Топология сети между микротиками - фул мэш. Во вложении прилагается более подробная схема сети. Я здраво понимаю что провайдеры уже предоставляют L2VPN, но как ит-шник старой закалки страдаю "паранойей", и так как было пару неприятных инцидентов, когда провайдер на наш влан вешал стороннюю организацию и в сети была каша, было принято решение поднимать gre туннели между микротиками на обоих провайдерах. То есть получается два gre туннеля между двумя микротиками, а так как микротиков 5-ть штук, то и туннелей между ними на каждом микротике будет 8-мь штук. Туннели я поднял, но когда начал поднимать внутри gre туннеля ipsec, вот тут и начались проблемы. Так как в IP - Policy явно указать можно только одно соединение с src.address и dst.address то при прописывании второго полиси для второго туннеля gre запись становится не активной и выделяется красным(Вложение 2). Я предполагаю что я где то чего то не до понимаю, и прошу в связи с этим помощи. А далее хотелось бы организовать маршрутизацию между микротиками посредством ospf, где тоже не так все гладко при использовании gre туннелей. Буду благодарен всем кто может помочь в решении проблем.
Добрый день. Не совсем понятно зачем Вы в Src.address и Dst.address выставляете подсети, а не адреса на конце туннеля. При создании Gre туннеля, Policies создаётся автоматически, если Вы укажете IP Secret.
Настройки IPSec-а делал по мануалу без автоматического создания полиси. потому что используются не ipsecret а сертификаты. И в полиси использую туннельный режим, так как при автоматическом создании его выставить невозможно.
Десятый форум и ответа нет... Потому что лепить микротик с микротиком просто, а лепить его с другими брендами? чистый IPSEC хоть как то работает, но вот оказалось только с одним туннелем. Нужно смериться, что микротик в ядре сети не будет установлен и для того чтобы он продавался нужно искать решения по его интеграции с другими брендами.
Микротики оборудование копеечное, по сравнению с другими, по этому ставят с обоих сторон и не парятся.
а в чем проблема ? с тем, что с одним адресом IP SEC строит в реализации микротика один туннель и не строит второй ? да .. для IKE v1 это так а для IKEv2 нет - допускаются множественные туннели вплоть до того что абоненты туннелей могут быть в сером пространстве провайдера и выходить в мир через единственный адрес провайдера не зная об этом Но я так понимаю что это ограничение не микротика а технологического стандарта IP SEC IKEv1 которое было расширено и изменено в IKE v2 Постройте туннели с IKE v2 и окажется их не один ...