Mainos / Advertisement:

Ero sivun ”RouterOS IPSec” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
Rivi 45: Rivi 45:
 
  add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default
 
  add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default
  
==== Natin konffaus ====
+
==== Natin konfigurointi ====
  
  
 
Site 1:
 
Site 1:
  
/ip firewall nat
+
<pre>
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24
+
/ip firewall nat
+
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24
 +
</pre>
  
 
Site 2:
 
Site 2:
  
/ip firewall nat
+
<pre>
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24
+
/ip firewall nat
 +
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24
 +
</pre>
  
 
== Dynaaminen tunneli ==
 
== Dynaaminen tunneli ==
  
 
Dynaaminen tunneli tarkoitettu kun toinen päätelaite on NATin tai vaihtuvan IP - verkont takana.
 
Dynaaminen tunneli tarkoitettu kun toinen päätelaite on NATin tai vaihtuvan IP - verkont takana.

Versio 20. helmikuuta 2017 kello 19.36

Staattinen tunneli

Staattinen yhteys on tarkoitettu kahdelle staattiselle omaavalle reitittimelle

Site 1:

  • WAN 10.0.0.19
  • LAN 192.168.200.1


Site 2:

  • WAN 10.0.0.21
  • LAN 192.168.100.1


Peerin konffaus:

Site 1: 

/ip ipsec peer
add address=192.168.100.1/24 port=500 auth-method=pre-shared-key
secret=Qwerty1

Site 2: 

/ip ipsec peer
add address=192.168.200.1/24 port=500 auth-method=pre-shared-key
secret=Qwerty1


Policy ja Proposal konffaus:

/ip ipsec proposal print

Näemme että meillä on jo simppeli proposal valmiina. konffataan siis policy joka käyttää sitä.

Site 1: 

/ip ipsec policy
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default

Site 2: 

/ip ipsec policy
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default

Natin konfigurointi

Site 1: 

/ip firewall nat
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24

Site 2: 

/ip firewall nat
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24

Dynaaminen tunneli

Dynaaminen tunneli tarkoitettu kun toinen päätelaite on NATin tai vaihtuvan IP - verkont takana.

Noudettu kohteesta ”https://taisto.org/index.php?title=RouterOS_IPSec&oldid=13844
Mainos / Advertisement: