Jump to content

IPSec тунел към повече от един рутер


h5rov

Recommended Posts

Здравейте,

Имам следния казус на който не мога да намеря решение, дали концепцията ми е сбъркана или нещо не ми достига, ще кажете Вие.

Имам 3 офиса които са свързани с IPSec.

Сегашната конфигурация е: двата малки офиса сe свързват с IPSec тунел към централния.

src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt
       level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15
       proposal=default priority=0

Така целия трафик от малките офиси заминава към централния, там ги посреща един фаерлол Fortigate 100D, който филтрира, сканира трафика и още разни глупости.

Принципно нещата така работят без проблеми, но сега ми се налага да изградя директна свързаност от малките офиси към външна услуга.

Както и да се опитвам да създам втори тунел, например:

src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all
       action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89
       sa-dst-address=212.114.141.12 proposal=default priority=1 (или priority=0)

Трафика не заминава въобще към втория тунел.

Има ли вариант с някакви правила/изключение... всичкия трафик да заминава към централния офис както е до сега освен заявките към 192.168.15.0/24.

Надявам се правилно да съм го обяснил.

Link to comment
Share on other sites

  • Administrator

Ми маркирай този спецефичен трафик и му сложи път от къде да минава!

Link to comment
Share on other sites

Може ли малко по-подробно. Общо взето ме затруднява липсата на интерфейс при IPSec-a.

Link to comment
Share on other sites

  • Administrator

Еми можеше да пуснеш върху GRE IPSECа и да рутираш през него пример ! Виж пробвай да смениш приорити да е 0 към 192.168.15.0/24 мрежа и 1ца за тунела за всички останали !

Link to comment
Share on other sites

Има разни критерии IPSecа да върви например да не се NAT-ва

 

примерен bypass:

 

/ip firewall nat add chain=srcnat comment="Seattle NAT bypass" dst-address=192.168.90.0/24 src-address=192.168.30.0/24

-

Link to comment
Share on other sites

Благодаря за отговорите колеги.

Оказа се, че трябва намеса от отсрещната страна.

Тунелите сработиха по най-папагалския начин:

Тунела към външната услуга:

src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all
       action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89
       sa-dst-address=212.114.141.12 proposal=default priority=1

Всичкия останал трафик влиза в другия тунел.

src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt
       level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15
       proposal=default priority=0

Лека и спорна!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.