Назад | Перейти на главную страницу

MikroTik GRE через IPSec

Я пытаюсь установить туннель GRE через IPSec между двумя устройствами MikroTik. Кажется, что все работает, но когда я обнюхиваю интерфейс WAN, я ясно вижу пакеты GRE, которые теоретически я не должен видеть.

Я потратил на это несколько дней и не понимаю, чего не хватает.

1.1.1.1 - это глобальная сеть центра обработки данных, а 2.2.2.2 - домашняя глобальная сеть.

Маршрутизатор 1:

/interface gre
add allow-fast-path=no !keepalive local-address=1.1.1.1 name=\
    gre-tunnel-home remote-address=2.2.2.2

/ip ipsec peer
add address=2.2.2.2/32 dh-group=modp8192 enc-algorithm=blowfish \
    hash-algorithm=sha512 lifetime=30m local-address=1.1.1.1 \
    nat-traversal=no proposal-check=strict secret=secretcode

/ip ipsec policy
add dst-address=2.2.2.2/32 proposal=proposal1 sa-dst-address=2.2.2.2 \
    sa-src-address=1.1.1.1 src-address=1.1.1.1/32 tunnel=yes

Маршрутизатор 2:

/interface gre
add allow-fast-path=no !keepalive local-address=2.2.2.2 name=\
    gre-tunnel-datacenter remote-address=1.1.1.1

/ip ipsec peer
add address=1.1.1.1/32 dh-group=modp8192 enc-algorithm=blowfish \
    hash-algorithm=sha512 lifetime=30m local-address=2.2.2.2 \
    nat-traversal=no proposal-check=strict secret=secretcode

/ip ipsec policy
add dst-address=1.1.1.1/32 proposal=proposal1 sa-dst-address=\
    1.1.1.1 sa-src-address=2.2.2.2 src-address=2.2.2.2/32 \
    tunnel=yes

Не используйте туннельный режим в своей политике IPSec.

Это то, что заставляет Torch показывать пакеты GRE.

Поскольку вы шифруете все соединение GRE, оно будет столь же безопасным, если не использовать туннельный режим. Пакеты, проходящие через туннель, в любом случае будут зашифрованы, поэтому никто не сможет увидеть, кто с кем общается внутри туннеля.

Для сторонних лиц, отслеживающих трафик, он будет практически одинаковым независимо от туннельного режима (например: 1.1.1.1 взаимодействует с 2.2.2.2 по протоколу 50-ipsec - нет смысла пытаться скрыть эту информацию в туннельном режиме).

Также у вас будет меньше накладных расходов на пакеты.

Из Mikrotik Вики:

Туннельный режим

В туннельном режиме исходный IP-пакет инкапсулируется в новый IP-пакет, таким образом защищая полезную нагрузку IP. и заголовок IP.