Телеграмм чат группы MikrotikRus страница 31842

Maksim Yakovlev

Я буквально ночью этой таким образом отроутил пол дюжины бранчей

как вариант организовать им петлю - пусть по TTL умирают)

15:33пожаловаться #1

VP

ipsec терминировать можно либо на 10.0.0.1 либо на 10.0.0.3. Без разницы. Но до этого хоста надо доставить трафик

Судя по схеме, у Вас так и "стерминировано". Я проблему пытаюсь увидеть и не вижу. Там, где есть интерфейсы, как я понял, развернута оспф. Что мешает прописать маршрут в дефаулт гейтвей до нужных сетей с метрикой, например, 120 и тогда в нормальном режиме будет рулить оспф, а при падении туннеля трафик побежит "дефолт" и зашифруется айписек?

15:33пожаловаться #2

Y

Vladimir Prislonsky

Судя по схеме, у Вас так и "стерминировано". Я проблему пытаюсь увидеть и не вижу. Там, где есть интерфейсы, как я понял, развернута оспф. Что мешает прописать маршрут в дефаулт гейтвей до нужных сетей с метрикой, например, 120 и тогда в нормальном режиме будет рулить оспф, а при падении туннеля трафик побежит "дефолт" и зашифруется айписек?

я не про туннели которые "* over ipsec*" я про чистый ipsec

15:36пожаловаться #3

Y

те что на 10.0.0.1 и 10.0.0.3

15:36пожаловаться #4

VP

я не про туннели которые "* over ipsec*" я про чистый ipsec

Я тоже.

15:36пожаловаться #5

VP

те что на 10.0.0.1 и 10.0.0.3

Именно.

15:36пожаловаться #6

Y

надо попробовать на 10.0.0.1 создать бридж с адресом 192.168.0.1/16 и заанонсить его в оспф

15:37пожаловаться #7

Y

будет ли ipsec работать раньше connected

15:37пожаловаться #8

VP

будет ли ipsec работать раньше connected

15:38пожаловаться #9

VP

будет ли ipsec работать раньше connected

Вы что-то не то говорите или понимаете.

15:39пожаловаться #10

Y

непонятно тут только одно - зачем делать роутинг раньше ipsec если потом еще раз роутить шифрованный пакет...

15:40пожаловаться #11

Y

остальное понятно. костыли прикручивать придется.

15:40пожаловаться #12

Y

или делать так: на 10.0.0.4 делать для пакетов в сети 192.168.0.0 в blackhole с distance 254, на 10.0.0.1 делать статику для 192.168.0.0 на 10.0.0.4 и ЗДЕСЬ же редистрибьютить статику в OSPF

15:43пожаловаться #13

Y

петля будет правда

15:43пожаловаться #14

Y

петля для тех кого нет в полиси

15:45пожаловаться #15

Y

надо дропать где то не тут

15:45пожаловаться #16

VP

непонятно тут только одно - зачем делать роутинг раньше ipsec если потом еще раз роутить шифрованный пакет...

Ничего не понял. Какие-то бессвязные построения.
Вся "маршрутизация" айписека, по сути основана на пирах. Т.е. трафик попадает в политику и идет на SA из пира. Все. Если Вы роутингом или фаерволлом трафик рубите до построутинга, то в политики он не попадет.

15:46пожаловаться #17

Y

Vladimir Prislonsky

Ничего не понял. Какие-то бессвязные построения.
Вся "маршрутизация" айписека, по сути основана на пирах. Т.е. трафик попадает в политику и идет на SA из пира. Все. Если Вы роутингом или фаерволлом трафик рубите до построутинга, то в политики он не попадет.

да. верно. но если роутингом отправить пакет куда-нибудь, не важно куда, то он попадает в полиси :)

15:47пожаловаться #18

Y

главное что б не дропать.

15:47пожаловаться #19

VP

да. верно. но если роутингом отправить пакет куда-нибудь, не важно куда, то он попадает в полиси :)

Как раз важно куда.