Отправить запрос

    Отправить запрос

    Внимание! Если у вас вопрос в техническую поддержку, то вам нужно завести заявку в разделе технической поддержки

    Настройка GRE over IPSec между QSR-1920/2920 и Mikrotik

    Для начала настройки, необходимо определиться какой тип GRE over IPsec будет использоваться.

    В данном примере мы будем использовать самый часто используемый по моему опыту вариант.

    Мы будем настраивать шифрование трафика между устройствами — то есть IPSec будет работать в транспортном режиме. а потому уже по шифрованному каналу настраивать GRE туннель.

    Тестовая сеть будет выглядеть так :

    IPSEC1.png


    Для начала настроим собственно IP адреса и GRE туннель без шифрования.
    Я всегда начинаю с данного шага, что бы проверить, что все работает без IPSec и тем самым разделяя настройку на этапы в каждый из которых проверяется отдельно.

    Настройка GRE тунеля без IPSec

    Начнем с Микротика
    Mikrotik1.png
    Mikrotik2.png
    Очень важно убрать галочку напротив Allow Fast Path.
    Данная настройка противоречит настройке IPSec в логике обработке пакетов.
    Ну и в довесок разрешим все соединения с ответной стороной, то есть с 11.10.254.6
    Mikrotik3.png
    Mikrotik4.png

    /ip address
    add address=11.10.254.4/24 interface=ether2 network=11.10.254.0
    
    /interface gre
    add allow-fast-path=no local-address=11.10.254.4 name=gre-tunnel1 remote-address=11.10.254.6
    
    /ip address
    add address=11.11.254.4/24 interface=gre-tunnel1 network=11.11.254.0
    
    /ip firewall filter
    add action=accept chain=input src-address=11.10.254.6
    

    Теперь настроим аналогичное на QSR-1920

    !
    interface gigabitethernet0/2
    switchport access vlan 2222
    exit
    !
    interface vlan2222
    ip address 11.10.254.6 255.255.255.0
    exit
    !
    interface tunnel0
    description TEST GRE
    tunnel source 11.10.254.6
    tunnel destination 11.10.254.4
    keepalive
    ip address 11.11.254.6 255.255.255.0
    exit
    

    На этом этапе можно проверить работу GRE, и доступность адресов тунеля.

    Настройка IPSec

    Приступаем к настройке IPSec

    Начнем настройку IPSec с настройки Микротика

    Mikrotik7.png

    Mikrotik6.png

    Обязательно снять галочку NAT Traversal

    Mikrotik5.png

    Ну и собственно активировать политику IPSec

    Mikrotik9.png


    /ip ipsec profile
    add dh-group=modp2048 enc-algorithm=3des hash-algorithm=md5 name=profile1 nat-traversal=no
    /ip ipsec peer
    add address=11.10.254.6/32 local-address=11.10.254.4 name=peer1 profile=profile1
    /ip ipsec proposal
    add auth-algorithms=md5 enc-algorithms=3des name=proposal1 pfs-group=modp2048
    
    /ip ipsec identity
    add peer=peer1 secret=12345678
    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=11.10.254.6/32 peer=peer1 proposal=proposal1 src-address=11.10.254.4/32
    

    Теперь то же самое произведем со стороны QSR-1920


    crypto ike key 987530e5546a12ea0493eccc6224c3a2Ђ any
    
    crypto ike proposal test
    encryption 3des
    integrity md5
    group group14
    exit
    
    crypto ipsec proposal test2
    esp 3des md5
    mode transport
    pfs group14
    lifetime seconds 1800
    exit
    
    crypto tunnel TEST3
    local address 11.10.254.6
    peer address 11.10.254.4
    set authentication preshared
    set ike proposal test
    set ipsec proposal test2
    set auto-up
    exit
    
    crypto policy policy1
    flow host 11.10.254.6 host 11.10.254.4 ip tunnel TEST3
    exit
    

    Проверка результата

    Проверяем со стороны Mikrotik

    Mikrotik10.png

    Со стороны QSR-1920 тоже все нормально и доступно

    QSR-1920.png

    На этом настройка GRE over IPSec закончена. И можно использовать данный туннель для работы в дальнейшем.


    Смотрите так же
    Для данной линейки коммутаторов, если у вас появилась необходимость организовать динамически назначаемый Voice Vlan, вам необходимо Разрешить получение LLDP информации. Создать Voice vlan перевести порт в режим работы Trunk Проверить что на порту разрешено LLDP Указать Voice Vlan на пор...
    Vlan-translation VLAN-translation - это функция, которая позволяет преобразовать тэг VLAN пакета в новый в соответствии с требованиями. Это позволяет обмениваться данными в разных VLAN. VLAN-translation может быть использован на обоих направлениях трафика. Ниж...
    Виртуальное тестирование кабеля(VCT) на коммутаторах QSW-2850/3470/4610 Virtual Cable Tester. Функция коммутатора, благодаря которой можно провести виртуальный тест медного кабеля.  Для ввода команды, переходим в привилегированный режим. (enable ) Далее вводим команду:  ...

    К списку