Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Gre over ipsec Mikrotik.

В начале поста некоторое отступление от темы по мотивам вчерашних событий….

Вчера пришел на работу, обнаружил, что мой комп, как-то подозрительно себя ведет после выходных. Посмотрел, что не так, оказалось:

Оказалось шифровальщик убил большинство файлов на компе, но не только на моем, а еще на нескольких. Краем затронуло и несколько серверов (в основном 1С серверов). С моим компом беда конечно, так я автоматически перешел на Windows 10 (1903), а вот за сервера несколько беспокойнее… Пришлось часть файлов достать из бэкапа. Но пугает в этом всем другое: на всех компах (включая мой) и серверах установлен Каспер Эндпоинт, но он даже не пикнул: пол компа зашифровано, а он как ни в чем не бывало, продолжает работать. Самое печальное, что весь мой стенд GNS3, тоже зашифровался и «почил в бозе», часть я достал, а вот остальную придется поднастроить руками снова.

Как шифровальщик попал к нам, попробуем разобраться, но это уже другая история…

Сегодня снова про Микротик. В целом он уже настроен, надо бы объединить Голову и Филиал. Построю вот такой туннель: Gre over ipsec.

Вернемся к моей схеме, которая ранее уже была представлена.

Сначала настроим основной роутер Mikrotik HEAD.

Зададим настройки согласования IPSEC:

Можно изменить дефолтный, можно создать новый Proposales:

Задаем peer адрес нашего удаленного филиала.

Зададим Identities, где укажем наш Pre Shared Key

Профиль оставим Default

Если согласование ipsec прошло успешно, то должны увидеть следующее:

 

Создадим GRE туннель:

Создадим разрешающие правила на Firewall:

Правил Firewall постепенно становится все больше:

Зададим туннельные адреса: (в данном случае 172.17.0.х)

Добавим маршруты в нужные нам подсети:

Здесь шлюзом укажем соответственно туннельный адрес удаленного роутера.

 

В зеркальном порядке делаем все тоже самое на удаленном роутере филиала Mikrotik BRANCH:

Туннель установлен, маршруты с обоих сторон прописаны, проверим что все работает, запингуем с компа 20 подсети, наш туннельный интерфейс маршрутизатора Головного офиса и комп в 10 подсети Головного офиса:

Все пингуется, а это то, что мне и требовалось.

Надо бы посмотреть, как это работает когда с одной стороны NAT, но это по возможности.

Продолжение следует…

Всем хорошей работы!!!

13.08.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | 1 комментарий