Настройка GRE over IPSec между QSR-1920/2920 и Mikrotik

Для начала настройки, необходимо определиться какой тип GRE over IPsec будет использоваться.

В данном примере мы будем использовать самый часто используемый по моему опыту вариант.

Мы будем настраивать шифрование трафика между устройствами — то есть IPSec будет работать в транспортном режиме. а потому уже по шифрованному каналу настраивать GRE туннель.

Тестовая сеть будет выглядеть так :

Для начала настроим собственно IP адреса и GRE туннель без шифрования.
Я всегда начинаю с данного шага, что бы проверить, что все работает без IPSec и тем самым разделяя настройку на этапы в каждый из которых проверяется отдельно.

Настройка GRE тунеля без IPSec

Начнем с Микротика


Очень важно убрать галочку напротив Allow Fast Path.
Данная настройка противоречит настройке IPSec в логике обработке пакетов.
Ну и в довесок разрешим все соединения с ответной стороной, то есть с 11.10.254.6

/ip address
add address=11.10.254.4/24 interface=ether2 network=11.10.254.0

/interface gre
add allow-fast-path=no local-address=11.10.254.4 name=gre-tunnel1 remote-address=11.10.254.6

/ip address
add address=11.11.254.4/24 interface=gre-tunnel1 network=11.11.254.0

/ip firewall filter
add action=accept chain=input src-address=11.10.254.6

Теперь настроим аналогичное на QSR-1920

!
interface gigabitethernet0/2
switchport access vlan 2222
exit
!
interface vlan2222
ip address 11.10.254.6 255.255.255.0
exit
!
interface tunnel0
description TEST GRE
tunnel source 11.10.254.6
tunnel destination 11.10.254.4
keepalive
ip address 11.11.254.6 255.255.255.0
exit

На этом этапе можно проверить работу GRE, и доступность адресов тунеля.

Настройка IPSec

Приступаем к настройке IPSec

Начнем настройку IPSec с настройки Микротика

Обязательно снять галочку NAT Traversal

Ну и собственно активировать политику IPSec

/ip ipsec profile
add dh-group=modp2048 enc-algorithm=3des hash-algorithm=md5 name=profile1 nat-traversal=no
/ip ipsec peer
add address=11.10.254.6/32 local-address=11.10.254.4 name=peer1 profile=profile1
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des name=proposal1 pfs-group=modp2048

/ip ipsec identity
add peer=peer1 secret=12345678
/ip ipsec policy
set 0 disabled=yes
add dst-address=11.10.254.6/32 peer=peer1 proposal=proposal1 src-address=11.10.254.4/32

Теперь то же самое произведем со стороны QSR-1920

crypto ike key 987530e5546a12ea0493eccc6224c3a2Ђ any

crypto ike proposal test
encryption 3des
integrity md5
group group14
exit

crypto ipsec proposal test2
esp 3des md5
mode transport
pfs group14
lifetime seconds 1800
exit

crypto tunnel TEST3
local address 11.10.254.6
peer address 11.10.254.4
set authentication preshared
set ike proposal test
set ipsec proposal test2
set auto-up
exit

crypto policy policy1
flow host 11.10.254.6 host 11.10.254.4 ip tunnel TEST3
exit

Проверка результата

Проверяем со стороны Mikrotik



Со стороны QSR-1920 тоже все нормально и доступно



На этом настройка GRE over IPSec закончена. И можно использовать данный туннель для работы в дальнейшем.