ssedov

Стоило написать тут вопрос и получилось поднять туннель IPIP поверх существующего IPsec. Нужную подсеть сроутил в него, заработало. Всем спасибо!

К сожалению отпадает этот вариант, L2TP не поддерживается на Juniper SRX, а у меня еще остались такие в качестве VPN клиентов. Похоже нужно думать про туннели поверх IPsec, но у меня не получается настроить IPIP поверх готового и работающего IPsec

L2TP как понимаю поверх IPsec работает, вот как это настроить если IPSec уже настроен? Сложность в том что туннели не только среди кинетиков, но и других сетевых железок и на таких туннелях у меня возникают сложности.

Возможно тема и решение банальные, но поиском по форуму и чтением доков не понял как мне пробросить несколько сегментов/подсетей по IPsec туннелю. Проблема в том что подсети не пересекаются, т.е. имеют адреса типа 192.168.0.0 и 10.10.0.0 и сменить их на смежные я не могу, схема сети и ее адресация уже реализованы и работают. И в конфиге IPsec я не могу задать их одновременно. Создаю второй конфиг с такими же клиентом и сервером, но с другой подсетью и получаю ошибку что такой шлюз уже существует. Пробовал IPIP поверх существующего IPsec, но так и не понял как его нужно настраивать в моем случае и роутеры в итоге даже друг друга не видели. Подскажите, plz, как решить этот вопрос?

Спасибо всем! Все отлично получилось на IPsec. (PPTP снес на радостях!!!) На centos 7 поставил openswan, настроил 2 туннеля для Giga и для Ultra роутеров. Подсети смаршрутизировались правильно, на стороне подсети Centos nat работает как положено. Единственное что выставил шифрование на минимум (ike=des-md5-modp768 esp=des-md5), на сколько это критично для безопасности? НО, зато скорость по туннелю максимальная для моего провайдера (95-96 Мбит), при этом потери пингов не значительные и вполне сносно работает параллельно ssh по этому же туннелю. Загрузка CPU на Ultra - 33%. Считаю это хороший показатель.

Верно понимаю что это совет перейти на IPSec и на нем проверить качество сети под нагрузкой?

Немного не соображу... это какую информацию мне дает? Что-то из роутеров нужно заменить? Разные роутеры не работают нормально? Перейти на EoIP/IPSec?

Поставил себе дома Ultra, обновился до последней беты 3.1. До этого keenetic в туннелях не использовал, опыта не имею. До рабочей сети (шлюз на Centos 6) поднял PPTP клиента, mppe, сжатие (не уверен что работает, но в конфиге на сервере указано). Конфиг из веб панели, все по дефолту. Работает отлично, пинг 25-30 мс. Включаю закачку файла, скорость около 45-50 Мбит (на сервере и на дома сеть 100 Мбит, честных 90 выдает и там и там), нагрузка на CPU роутера около 25%, пинг до удаленного шлюза пропадает практически полностью (потери 70%), а те что проходят имеют отклик так же 25-30 мс. В связи с этим хотел спросить - это "штатное" поведение роутера или PPTP туннеля? Может где-то что-то подкрутить нужно в настройках (приоритезация трафика)? Может другой тип туннеля стоит использовать (хотя читал что PPTP самый быстрый и соответственно менее требовательный к оборудованию)? До этого на тот же шлюз из дома был IPSec туннель на Juniper SRX100, скорость по туннелю была максимальная для этой модели роутера около 50 Мбит, но я при этом спокойно работал по ssh с другими хостами в рабочей сети и спокойно пользовался RDP. Т.е. не было такого проседания сети из-за закачки.

Конфиг на Centos [root@proxy ~]# cat /etc/ipsec.conf config setup protostack=netkey conn my-home left=194.хх.хх.хх leftsubnet=0.0.0.0/0 leftsourceip=172.16.10.3 leftnexthop=%defaultroute right=217.хх.хх.хх rightsubnet=192.168.1.0/22 rightsourceip=192.168.1.254 authby=secret ike=3des-sha2-modp2048 phase2alg=aes256-sha2;modp2048 auto=start mtu=1400 Конфиг на SRX100 ike { proposal ike-prop-wrk { description "VPN"; authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm 3des-cbc; lifetime-seconds 86400; } policy ike-pol-wrk { mode main; proposals ike-prop-wrk; pre-shared-key ascii-text "XXX"; ## SECRET-DATA gateway ike-gate-wrk { ike-policy ike-pol-wrk; address 194.xx.xx.xx; external-interface pp0.0; } } ipsec { proposal ipsec-prop-wrk { protocol esp; authentication-algorithm hmac-sha-256-128; encryption-algorithm aes-256-cbc; lifetime-seconds 18600; } policy ipsec-pol-wrk { perfect-forward-secrecy { keys group14; } proposals ipsec-prop-wrk; } vpn ipsec-vpn-wrk { bind-interface st0.1; ike { gateway ike-gate-wrk; proxy-identity { local 192.168.1.0/22; remote 0.0.0.0/0; } ipsec-policy ipsec-pol-wrk; } establish-tunnels immediately; } } static { route 0.0.0.0/0 next-hop pp0.0; route 10.xx.xx.0/24 next-hop st0.1; route 172.16.0.0/15 next-hop st0.1; route 192.168.4.0/23 next-hop st0.4; } Трафик ходит между Centos и Juniper SRX100. Тут с настройками никаких проблем. На стороне Centos openswan принимает в ipsec обращение к любой подсети. Но туда конечно отправляется только то, что к ней относится. Это видно в статик роуте. Возникла задача подключить дачу куда был куплен кинетик. За ним настроена подсеть 192.168.4.0/24. Трафик из подсети 192.168.4.0/24 в подсети 192.168.1.0/22 удалось пустить. Хотел бы пустить так же трафик от 192.168.4.0/24 в подсети 172.16.0.0/15, но уперся в настройки ipsec. Как понимаю как раз в параметр rightsubnet конфига openswan, который похоже нельзя расширить так как я хочу.

Ну ладно ospf, не критично в малой сети. А как быть с привязкой ipsec к конкретному диапазону подсетей? Этого тоже никак не избежать? Хочется рулить трафик маршрутами, а данная настройка ipsec не пропускает ничего лишнего. В openswan на centos у меня тоже поднят ipsec. Так на стороне центоса подсеть ipsec указана как 0.0.0.0/0, а сторона srx100 как 192 с широкой маской. Т.е. все что летит на этот интерфейс сервер принимает. А уж что туда должно лететь решает маршрутизация на стороне srx100. У меня есть 2 диапазона сетей, 192.168.0.0 и 172.16.0.0. Так вот на кинетике пришлось указать только 192.168.4.0/24 как локальную и 192.168.0.0/22 как удаленную. А трафик в подсеть 172 я уже никак не смог завернуть в ipsec. Не идет он туда как бы не пробовал.

В Aggressive режиме кинетик подключился. Не понравилось что на стороне кинетика нужно в IPSec обязательно указывать локальную подсеть к которой он коннектится. В итоге немного не полноценно, но все заработало. В juniper при соединении 2х его железок просто указываю интерфейс в который слать данные, маршрутизация по ospf сама раздается. Вот такого хотелось и на кинетике, не понял пока как так сделать.

Покажите пример как поверх существующего подключения IPSec создать туннель IPIP? Сделать по инструкции в шапке не выходит, ошибка proposals на этапе первой фазы ike. Создаю свое IPSec подключение с детальными параметрами и оно работает, добавляю IPIP0 с указанием destination IP роутера на втором конце из сети IPSec.Интерфейс поднимается, но пакеты в него не ходят. Подозреваю что проблема в указанных подсетях при настройке IPSec, там указал 192.168.4.1/32 -> 10.0.0.9/30. Пакеты ходят только между ними. У IPIP0 указываю 10.0.0.10/30. В итоге хочу получить туннель 10.0.0.10/30 -> 10.0.0.9/30 через IPSec.

Как понимаю main не способен авторизоваться из-за отсутствия белого ИП на стороне кинетика. Во всяком случае у меня авторизация прошла только после установки агрессивного режима. Делал по аналогии с настройкой динамических ВПН для juniper, там так же советуют агрессивный режим. С другой стороны мне нужно было обеспечить прямой и постоянный доступ к подсети за кинетиком, там будет регистратор видео наблюдения. Вопрос безопасности трафика тут на втором месте.

Отбой. Сам протупил, все заработало! На srx100 для интерфейca st0.4 не был прописан family inet. После его добавления пинги побежали в обе стороны.

Всем здравствуйте. Первый раз сталкиваюсь с keenetic, поэтому с наскоку не получилось решить вопрос. Нужно поднять IPSec туннель между keenetic (сеть за ним 192.168.4.0/24) и juniper. (сеть за ним 192.168.1.0/24) При этом keenetic находится в сети 3G мегафон, на juniper статический белый IP. Сам туннель в итоге поднял, в качестве идентификатора шлюза использовал FQDN, режим согласования aggressive на обеих сторонах. root@srx100> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2505650 UP c2c4abde3fe45994 3c1024f640cf5685 Aggressive 85.26.164.94 root@srx100> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <268173314 ESP:aes-cbc-128/sha256 481a986e 6175/ 21474836 - root 34722 85.26.164.94 >268173314 ESP:aes-cbc-128/sha256 cfae4371 6175/ 21474836 - root 34722 85.26.164.94 На keenetic через веб тоже вижу что туннель поднят, горит зелененький. Но чтобы я ни делал я никак не могу добиться чтобы в туннель шли пакеты. Пинг не ходит между 192.168.4.1 и 192.168.1.254. Даже маршруты не вижу чтобы в него прописались на стороне keenetic. На srx100 я добавляю статический маршрут, но не поднимается. Как будто что-то не настроено. Что я не учел или не доделал? Может есть инструкция для соединения этих железок?