RP
M K
Подскажите по маршрутизации ike2-ipsec туннеля:
Со стороны клиента создаю правило маршрутизации на нужную подсеть (за сервером) с pref.source = Dynamic IP клиента - работает, а со стороны сервера, чтобы получить доступ к подсети за клиентом, как описать правило маршрутизации? Указав в gateway Dynamic IP клиента - получаю unreachable.
Со стороны клиента создаю правило маршрутизации на нужную подсеть (за сервером) с pref.source = Dynamic IP клиента - работает, а со стороны сервера, чтобы получить доступ к подсети за клиентом, как описать правило маршрутизации? Указав в gateway Dynamic IP клиента - получаю unreachable.
Вся прелесть Policy-based IPSec и одновременно недостаток, не каких IPSec туннелей нет, которые бы можно было ассоциировать с интерфейсом.
Есть транспортный или туннельный режим SA, отсюда и требования к достижимости искомой сети с точки зрения RIB нет, достаточно наличия шлюза последней надежды, чтобы пакет в принципе не отбрасывался при route lookup в RIB, а дальше xfrm lookup в RouterOS по SPD сделает своё дело.
“
Есть транспортный или туннельный режим SA, отсюда и требования к достижимости искомой сети с точки зрения RIB нет, достаточно наличия шлюза последней надежды, чтобы пакет в принципе не отбрасывался при route lookup в RIB, а дальше xfrm lookup в RouterOS по SPD сделает своё дело.
“
An SA is a simplex "connection" that affords security services to the traffic carried by it. Security services are afforded to an SA by the use of AH, or ESP, but not both.
As noted above, two types of SAs are defined: transport mode and tunnel mode. IKE creates pairs of SAs, so for simplicity, we choose to require that both SAs in a pair be of the same mode, transport or tunnel.”
RFC 4301 Security Architecture for the Internet Protocol