Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Cisco-Mikrotik IP-IP. Туннель с Микротиком с белым IP.

Наконец дошли руки посмотреть интеграцию с Cisco. GRE_ipsec за NAT так и не заработал, решили посмотреть схему IP_ipsec (IP-IP).

Для понимания процесса читаем здесь: http://xgu.ru/wiki/Cisco_IOS_Site-to-Site_VPN

До сего момента я никогда ранее не пробовал строить такие туннели, наткнулся вот на этот пост и решил попробовать:

https://habr.com/ru/post/151951/

Спасибо автору, за понятный, а главное, рабочий вариант.

Набросал вот такую схему в GNS3.

Сначала попробую настроить туннель с Микротиком с белым IP, затем с Микротиком за NAT.

Настроим Cisco.

Cisco_head(config-if)#ip address 77.77.77.226 255.255.255.0

Cisco_head(config-if)#no shutdown

Cisco_head(config-if)#

*Mar  1 00:12:08.019: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

*Mar  1 00:12:09.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Cisco_head(config)#exit

Cisco_head#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cisco_head(config)#interface fastEthernet 0/1

Cisco_head(config-if)#ip address 10.192.0.1 255.255.252.0

Cisco_head(config-if)#no shutdown

Cisco_head(config-if)#exit

Cisco_head(config)#

*Mar  1 00:16:26.039: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

*Mar  1 00:16:27.039: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

Cisco_head(config)#exit

Cisco_head#

*Mar  1 00:16:32.151: %SYS-5-CONFIG_I: Configured from console by console

Cisco_head#wr

Пропишем статический маршрут в нашу сеть филиала:

Cisco_head(config)#ip route 88.88.88.0 255.255.255.0 fastEthernet 0/0

Добавим в конфиг:

! Политика авторизации — хеш мд5 и шифрование 3des по парольному ключу (pre-share)

crypto isakmp policy 20

encr 3des

hash md5

authentication pre-share

! group2 означает, что в микротике надо установить dh-group=modp1024

group 2

! Сам ключ

crypto isakmp key MyPassWord address 88.88.88.2 no-xauth

crypto isakmp keepalive 30

! Трансформ. Внимание! Используется transport, а не tunnel режим

crypto ipsec transformset transform-2 esp-3des espmd5-hmac

 mode transport

crypto dynamic-map dynmap 10

set transform-set transform-2

 reverse-route

 crypto map vpnmap client configuration address respond

 crypto map vpnmap 5 ipsec-isakmp dynamic dynmap

 crypto map vpnmap 10 ipsec-isakmp

! криптомапа микротика

crypto map vpnmap 93 ipsecisakmp

description Mikrotik_Local

! ip микротика

set peer 88.88.88.2

set security-association lifetime seconds 86400

set transform-set transform-2

! pfs group2 означает, что в микротике надо установить dh-group=modp1024

set pfs group2

! access-лист, разрешающий соединение

match address 137

! Сам тоннель (здесь указываем наш внешний интерфейс)

interface Tunnel93

description tunnel_Mikrotik

ip unnumbered FastEthernet0/0

! Цискин адрес

tunnel source 77.77.77.226

! Адрес микрота

tunnel destination 88.88.88.2

! тип тонеля ipip

tunnel mode ipip

! Наружный интерфейс

interface FastEthernet0/0

description Internet

ip address 77.77.77.226 255.255.255.224

no ip redirects

no ip unreachables

no ip proxy-arp

ip wccp web-cache redirect out

ip virtual-reassembly

ip route-cache policy

no ip mroute-cache

duplex auto

speed auto

no mop enabled

! ВКЛЮЧАЕМ ШИФРОВАНИЕ НА ИНТЕРФЕЙСЕ

crypto map vpnmap

! Роутинг сети, находящейся за микротиком

ip route 192.168.88.0 255.255.255.0 Tunnel93

! Разрешение на соединение тоннеля

access-list 137 permit ip host 77.77.77.226 host 88.88.88.2

Зададим MTU:

https://habr.com/ru/post/226807/

Cisco_head#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cisco_head(config)#interface tunnel93

Cisco_head(config-if)#mtu 1460

% Interface Tunnel93 does not support adjustable maximum datagram size

Cisco_head(config-if)#exit

Cisco_head(config)#exit

Cisco_head#

*Mar  1 02:12:54.603: %SYS-5-CONFIG_I: Configured from console by console

Cisco_head#wr

Зададим IP на туннельном интерфейсе:

Cisco_head#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cisco_head(config)#interface tunnel93

Cisco_head(config-if)#ip address 10.33.0.1 255.255.255.0

Cisco_head(config-if)#no shutdown

Cisco_head(config-if)#exit

Cisco_head(config)#exit

Cisco_head#

*Mar  1 02:27:29.947: %SYS-5-CONFIG_I: Configured from console by console

Cisco_head#wr

! Роутинг сети, находящейся за микротиком сразу поправим на IP нашего туннельного интерфейса.

no ip route 192.168.88.0 255.255.255.0 Tunnel93

ip route 192.168.88.0 255.255.255.0 10.33.0.1

 

Со стороны Микрота (бранч).

Здесь же сразу пропишем руками статический маршрут в Головной офис:

Интерфейсы-IP Tunnel. Добавить:

На циске MTU выставили 1460, здесь соответственно выставляем тоже самое.

В разделе IP-IPSec-Proposals в дефолтном правиле ОБЯЗАТЕЛЬНО сменить SHA1 на MD5!

IP-IPSec-Peers. Добавить:

В Profiles правим:

Профиль в предыдущем шаге у нас выбран дефолтный, соответственно здесь правим дефолтный.

Все настройки должны быть согласованы с циской на другой стороне:

Если это так, то должна подняться сессия:

И автоматически сгенерируются политики:

IP-Routes. Добавим:

Для более детального логирования добавим:

После этого можно заглянуть обратно в IP-IPSec, закладка Instaled SAs, и вы должны увидеть, что байты бегут по туннелю в обе стороны:

В итоге, у нас со стороны микрота получились следующие маршруты:

Проверим MTU со стороны Микрота (запингуем внутреннюю сетку головы большими пакетами):

Пакеты пролазят-это радует.

Для верности посмотрим, что у нас от компа до компа:

В целом все так, как должно быть.

На этом настройка закончена, но самое интересное, сделать все тоже самое за NAT.

Но это уже тема следующего повествования…

Всем хорошей работы!!!

P.S. В продакшине оказалось не все так гладко, как на стенде. В Голове у нас стоят маршрутизаторы Cisco ISR 4331, туннель никак не хотел «подниматься», оказалось все дело в прошивке, пришлось их обновлять до последних прошивок. Все сложилось не так гладко, как хотелось бы, но сложилось. Еще раз благодарю Рому и Стаса за подробные разъяснения по некоторым, непонятным для меня вопросам (а их было не мало), по теме. В настоящий момент в продакшин введено уже два Микрота пока с белыми адресами. Две недели, полет нормальный… Будем посмотреть, как события будут развиваться дальше….

22.10.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи Cisco-Mikrotik IP-IP. Туннель с Микротиком с белым IP. отключены