Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Cisco-Mikrotik IP-IP. Туннель с Микротиком за NAT.

Мои изыскания в Cisco пока подходят к концу. Хотел еще покрутить лабы и начать детально изучать ASA, но пока времени нет вообще, и я не уверен, что до нового года оно появится.

Возможно что-то эпизодически еще удастся посмотреть, но уже по возможности.

Ранее писал Cisco-Mikrotik IP-IP. Туннель с Микротиком с белым IP. Сегодня Cisco-Mikrotik IP-IP. Туннель с Микротиком за NAT.

Возвращаемся к нашей схеме, и теперь включаем второй Микрот за NAT.

На Микротик бранч отключаем ранее созданный туннельный интерфейс, и пир ipsec:

Видим, что динамические маршруты у нас пропали:

Если фаервол на пограничном Микротике включен, то добавим пару правил:

Так же создадим src-nat NAT:

Здесь укажем адрес нашего внешнего интерфейса:

Перейдем к настройке второго Микрота (Mikrotik_over_NAT). У него внешним будет адрес: 192.168.88.100.

Входные данные у нас следующие:

Интерфейсы-IP Tunnel. Добавить:

На циске MTU выставили 1460, здесь соответственно выставляем тоже самое.

В разделе IP-IPSec-Proposals в дефолтном правиле ОБЯЗАТЕЛЬНО сменить SHA1 на MD5!

IP-IPSec-Peers. Добавить:

В Profiles правим:

Профиль в предыдущем щаге у нас выбран дефолтный, соответственно здесь правим дефолтный.

Далее видно, что само шифрование у нас заработало:

А вот сам туннель не поднялся, и это не есть ГУД.

Оказалось, забыл добавить маршрут.

Добавим обратный маршрут со стороны Cisco:

Cisco_head#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cisco_head(config)#ip route 10.0.0.0 255.255.255.0 10.33.0.3

Cisco_head(config)#exit

Cisco_head#wr

*Mar  1 06:53:04.430: %SYS-5-CONFIG_I: Configured from console by console

Cisco_head#wr

Building configuration…

[OK]

Cisco_head#

Теперь проверим с компа одной подсети до другой:

Еще забыл (на микротике за NAT) создать правило NAT:

Все работает. Но есть проблема. У нас все протоколы ходят по туннельным интерфейсам, хотелось бы чтоб это было не так.

Для этого вернемся на Cisco.

Здесь поменяем наш акцесс лист для туннеля:

Было

access-list 137 permit ip host 77.77.77.226 host 88.88.88.2

меняем на

access-list 137 permit ipinip host 77.77.77.226 host 88.88.88.2

 

Cisco_head#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cisco_head(config)#$ 137 permit ipinip host 77.77.77.226 host 88.88.88.2

Cisco_head(config)#do sh run

Больше вроде не ругается.

Соответственно пинг снаружи как в одного микротика:

Так и с того, который за NAT:

Трассировка и ping c с компа в 10 подсети, да подсети Головного офиса также благополучно идет:

Это радует.

Посмотрим туннель с Cisco. Проверка работы VPN

Установленные SA первой фазы:

Cisco_head#sh crypto isakmp sa

Установленные SA второй фазы:

Cisco_head#sh crypto ipsec sa

Просмотр crypto-map:

Cisco_head#sh crypto map

Просмотр информации:

Cisco_head#sh crypto session brief

Cisco_head#sh crypto session

Cisco_head#sh crypto session detail

Cisco_head#sh crypto ruleset

Осталось навесить BGP c обеих сторон.

BGP_Cisco_Mikrotik.

http://admindoc.ru/1142/kratko-o-bgp/

http://xgu.ru/wiki/BGP_%D0%B2_Cisco

Внесем настройки ст тороны Cisco.

Создадим Loopback int и зададим ему IP.

Cisco_head(config)#interface loopback 0

Cisco_head(config-if)#

*Mar  2 08:06:36.456: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up

Cisco_head(config-if)#ip address 1.1.1.1 255.255.255.0

Cisco_head(config-if)#exit

Cisco_head#sh ip int br

!

router bgp 10

no synchronization

bgp router-id 1.1.1.1

bgp log-neighbor-changes

network 1.1.1.1 mask 255.255.255.255

neighbor 2.2.2.2 remote-as 10

neighbor 2.2.2.2 description Mikrotik_branch

neighbor 2.2.2.2 update-source Loopback0

no auto-summary

Со стороны Mikrotik_over_NAT:

Также создаем loopback интерфейс с IP 2.2.2.2

для этого заходим в меню interfaces т  добавляем новый интерфейс, выбираем bridge

Настроим инстанс:

Добавим peer

С обоих сторон пока вот так:

Cisco_head#sh ip bgp sum

Посмотрим на маршрут:

Cisco_head#show ip bgp

Добавим маршруты через наши туннельные адреса:

На Микроте:

На Циске:

Cisco_head(config)#ip route 2.2.2.0 255.255.255.0 10.33.0.3

Cisco_head(config)#do ping

*Mar  2 08:56:19.547: %BGP-5-ADJCHANGE: neighbor 2.2.2.2 Up

Cisco_head(config)#do ping 2.2.2.2

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/16 ms

Cisco_head(config)#

Теперь видно, что со стороны Микрота маршруты прилетают:

А вот с Циски на Микрот пока нет, надо бы допилить.

Добавим нашу подсеть за Циской.

Cisco_head(config-router)#network 10.192.0.0 mask 255.255.252.0

Видим, что на Микротик подсеть за Циской стала прилетать.

Проверим доступность, с компов с обеих сторон:

Все доступно, что мне и требовалось.

Всем хорошей работы!!!

12.11.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи Cisco-Mikrotik IP-IP. Туннель с Микротиком за NAT. отключены