Пытаюсь настроить IPSec между DFL-800 и Mikrotik RB-450G (pre-shared key). Частично удалось заставить это работать, но не так, как хочется.

Может быть кто-нибудь даст рекомендации на тему:

1) выбор оптимальных (для Д-ЛИНК) алгоритмов шифрования на Mikrotik
там есть (выбор из списка):
hash algorithm: md5/sha
encryption algorithm: 3des/aes-128/aes-192/aes-256/des

2) основная проблема - не могу создать IPSec к нескольким подсетям со стороны Д-Линк.
На Д-Линк указываю как обычно в качестве Local network группу из необходимых под сетей, на Mikrotik также указываю эти подсети в policies, но IPsec устанавливается только с ближайшей к Д-линк подсетью (его ЛАН)

Буду рад любым соображениям на эту тему!

Настройки приведите на DFL и микротик.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

IPSec устанавливается не с подсетью или подсетями. Это только туннель между двумя точками. Для того, чтобы виделись нужные подсети, вам необходимо на обоих концах прописать маршрутизацию на них.

Маршрутизация при правильном указании remote network(s) получается автоматически - динамическим образом (при наличии соответсвующей "галочки" в настройках конечно)

Ага, маршрутизация по туннелю действительно будет автоматически выполняться при правильном задании remote network. Однако сама точка тоже должна знать, куда дальше маршрутизировать этот трафик.

Например, на DFL-800 у вас в качестве remote network прописано объединение двух подсетей - 192.168.0.0/24 и 192.168.1.0/24. Сеть, присоединенная непосредственно к микротику, скажем, 192.168.0.0/24. Если на него приходят пакеты, предназначенные для 192.168.1.0/24, он должен знать, куда их отправлять. То есть у него в таблице маршрутизации должен быть указан маршрут на 192.168.1.0/24 со шлюзом из сети 192.168.0.0 (например, 192.168.0.50). Ну или описан еще один туннель с этой удаленной сетью.

На шлюзе 192.168.0.50 также должно быть прописано, что есть удаленная сеть (LAN DFL-800), маршрут на которую идет через 192.168.0.1 (микротик). Ну или если туда же дефолтный маршрут, то отдельный не обязательно.

Я много эксперемнентировал, перебрал массу вариантов, сейчас так:

DFL-800 IPsec settings:
==============================
Local Network: 192.168.99.0/24+192.168.97.0/24+192.168.32.0/24+192.168.20.0/24 (группа сетей)
Remote Network: 192.168.65.0/24
Remote Endpoint: 2.2.2.2 (wan ip of RB450G)
Encapsulation mode: tunnel
IKE Algorithms: High (3DES, AES, Blowfish, MD5, SHA1)
IKE Lifetime: 28800 seconds
IPsec Algorithms: High (3DES, AES, Blowfish, MD5, SHA1)
IPsec Lifetime: 3600 seconds
IPsec Lifetime:_ kilobytes

Authentication: Pre-shared key: *****
IKE XAuth: Off

IKE: Main DH Group: 2
PFS: DH Group 2
==============================

RB450G settings:
==============================
IPSec

Peer:
Address: 1.1.1.1 (wan ip of D-Link)
Port: 500
Auth. method: pre-shared key
Secret:*****
Exchange mode: main
Proposal check: obey
Hash algorithm: md5
Encryption alg: aes-128
DH Group: modp1024
Lifetime: 08:00:00
DPD Interval: 0

Proposal:
Name: default
Auth. Algorithms: md5
Encr. Algorithms: aes-128
Lifetime: 01:00:00
PFS Group: none

IPSec Policy 1:
Src Address:192.168.65.0/24
Dst. Address: 192.168.99.0/24
Protocol: 255 (all)
Action: encrypt
Level: require
IPsec protocol: esp
Tunnel: on
SA Src. Address: 2.2.2.2
SA Dst. Address: 1.1.1.1
Proposal: default

IPSec Policy 2:
всё тоже, только Dst. Address: 192.168.97.0/24

IPSec Policy 3:
всё тоже, только Dst. Address: 192.168.32.0/24

IPSec Policy 4:
всё тоже, только Dst. Address: 192.168.20.0/24
==============================

Оно всё как-то работает, но криво
1) тунель не создается со стороны ДФЛ. Надо начать пинговать сети за ДФЛ (192.168.99.0/24, 192.168.97.0/24, 192.168.32.0/24, 192.168.20.0/24) со стороны Микротик, чтобы инициировать создание тунеля
2) через час (3600 сек) работа тунеля прекращается. чтобы она возобновилась надо вручную на Микротик удалить сертификаты (Installed SAs)

С маршрутизацией всё понятно, проблема в другом - тунель не устанавливается...


У меня за Микротиком только 1 сеть, и поэтому там тоже всё получается динамически (на базе созданных polices).

Кстати, в Микротике, если бы даже и потребовалось создавать static routes, не понятно, как это сделать - там среди интерфейсов нет интерфейсов IPSec, как в Д-линк. Но наверное как-то можно (писать скрипты и т.п.)