Sifrovanie GRE

Návody a problémy s konfigurací.
BrandonSk
Příspěvky: 3
Registrován: 2 years ago

Sifrovanie GRE

Příspěvekod BrandonSk » 2 years ago

Ahoj,

snazim sa urobit si site-to-site prepojenie. Standardne co pozeram, tak sa robi IPSEC a cez neho pripadne GRE, ak chcem viac nez len IP protokol.
Moj problem je ten, ze 1 z MT ma 1:1 NAT verejnu IP a ani za svet tam neviem rozbehat ipsec (skusal som vsetko mozne - uz asi tyzden :( )

Tak som zacal hladat alternativu... Ked som urobil GRE tunel, tak vsetko okamzite bezalo ako ma s velmi rychlimi odozvami sa vedia spojit vsetci klienti oboch prepojenych LAN.
GRE je ale nesifrovany. Tak hladam sposob, ako zabezpecit komunikaciu v tomto tuneli. A opat jediny sposob co mi napadol bolo spojazdnit ipsec medzi koncovymi bodmi GRE tunelu (teda nieco co by som popisal ako ipsec vo vnutri GRE). Len neviem, ci to cele ma zmysel, alebo je to hlupost a ci existuje nieco rozumnejsie.

MT1:
WAN: 1.1.1.1
LAN: 10.0.1.0/24
GRE adresa: 192.168.1.2

MT2:
WAN: 2.2.2.2 (Public - NAT-ovana); 172.22.2.2 (realne priradena na interface)
LAN: 10.0.2.0/24
GRE adresa: 192.168.1.1

V tomto nastaveni GRE slape v pohode.
Dalej som pridal IPSEC, kde na MT1 je peer definovany ako 192.168.1.1; a na MT2 je peer 192.168.1.2
Spojenie ipsec sa nadviazalo (aj phase2) a viem nadalej pingovat jednotlivych klientov medzi sebou. Len neviem, ci aj komunikacia je sifrovana :)

Dakujem vopred za rady.
B.
0 x

Majklik
Příspěvky: 1949
Registrován: 8 years ago

Příspěvekod Majklik » 2 years ago

Nu, pokud máš ten NAT 1:1, tak je možnost to n straně toho Mikrotiku "odnatovat" zpět na veřejnou IP a pak udělat normální GRE/IPsec transport, jk kdyby byla veřejka přímo na něm. Postup je v podstatě popsán zde, kde se řešilo to stejné pro L2TP/IPsec na straně serveru: viewtopic.php?f=5&t=20473&p=197940#p197940
0 x

BrandonSk
Příspěvky: 3
Registrován: 2 years ago

Příspěvekod BrandonSk » 2 years ago

Super!
ten post, ktory si mi preposlal, na ten som narazil pri niecom uplne inom asi pred pol rokom. Povedal som si, ze ake super riesenie a ze ho raz vyskusam (a nedal medzi oblubene zalozky). Ani nehovorim, ako dlho som ho odvtedy hladal a bez vysledku. Dnes vecer to odskusam a dam vediet. To by potom riesilo cely problem.

Ale aby sme nezostali pre buducich citatelov dlzni odpoved na povodnu otazku - mnou popisane sifrovanie medzi 2 koncovymi adresami "vo vnutri" GRE tunelu je blbost alebo to tiez funguje a tym padom data (minimalne na urovni IP) su pri prenose sifrovane?

B.
0 x

BrandonSk
Příspěvky: 3
Registrován: 2 years ago

Příspěvekod BrandonSk » 2 years ago

Ahoj,

tak pre uplnost - po aplikacii toho "figlu" na ktory si mi dal link som IPSEC rozbehal. Je tam samozrejme potreba este pridat na oboch koncoch pravidla do firewall-u, ale to uz je popisane aj vo wiki dokumentacii k MT ipsec.

Este raz dakujem za pomoc.
B.
0 x

Majklik
Příspěvky: 1949
Registrován: 8 years ago

Příspěvekod Majklik » 2 years ago

Blahopřeji k úspěchu.

Co se týče otázky udělat prvně nešifrovaný GRE tunel a do něj strčit IPsec tunel kvůli ojebání NATu, tak ano, bude to fungovat a data uvnitř IPsec se budou šifrovat (kdysi jsem i něco tkového použil, abych obešel NAT prznící IPsec, jen to bylo L2TP místo GRE). Ale raději bych to nedělal kvůli efektivitě přenosu, když to jde ojebat, jak jsi ojebal. Variata, že mám GRE tunel nesoucí data a ten následně zašifruji pomocí vnějšího IPsec transportu je efektivnější.
A můžeš i zvážut, zd potřebuješ kombinaci GRE/IPsec transport nebo použít jen čistý IPsec tunel. Do GRE se příjemněji routuje než psát SPD pravidla a je nutný, pokud chci skrz tunel používat věci tupy dynamický routing, MPLS.
0 x

coolerman1
Příspěvky: 295
Registrován: 12 years ago

Příspěvekod coolerman1 » 5 months ago

Vie mi niekto poradit aky stroj z mikrotiku by zvladol IPsec GRE aspon 1gbit ?
0 x

Uživatelský avatar
DaZa
Příspěvky: 71
Registrován: 2 years ago

Příspěvekod DaZa » 5 months ago

Potrebujes stroj s podporou hw sifrovani... :) mikrotik ma model asi za 1600 kacek...

https://www.czc.cz/mikrotik-routerboard-rb760igs/242486/produkt

Ale tam stejne se dostanes na 400 - 500 mbit....

Nevim jak jsou na tom CCR, ale ty jsou pomerne draha sranda... :)
0 x
DaZa - aneb sen o vlastním malém datacentru...

fujara
Příspěvky: 117
Registrován: 12 years ago

Příspěvekod fujara » 5 months ago

coolerman1 píše:Vie mi niekto poradit aky stroj z mikrotiku by zvladol IPsec GRE aspon 1gbit ?

Tu mas zoznam RB ktore vedia hw sifrovanie:
https://wiki.mikrotik.com/wiki/Manual:I ... celeration
Tu si vies pozriet jednotlive RB a ked si kliknes na Test results tam mas IPsec test results:
https://mikrotik.com/products
napr. CCR1009 :
https://mikrotik.com/product/CCR1009-7G ... estresults
Rozhodni sa co vlastne chces IPSEC alebo GRE? Su to dve rozdielne veci. Vsetko co som pisal hore je o IPSEC.
Mikrotik vie HW sifrovat IPSEC, L2TP, EOIP
0 x

coolerman1
Příspěvky: 295
Registrován: 12 years ago

Příspěvekod coolerman1 » 5 months ago

Preto som to tak napisal .viem ze asi len ccr 1036 to zvadne ale ccr 1009 asi urcite nie .chcel som nazor znalych co maju .asi x 86 s xeonom a samostatnymi sietovkami to zvladne .rb 3011 da max 400mbit
0 x

fujara
Příspěvky: 117
Registrován: 12 years ago

Příspěvekod fujara » 5 months ago

Predpokladam ze potrebujes cez jedenn ipsec tunel pretlacit co najviac. Tu mas Single tunnel IPsec throughput pre rozne RB.

Screenshot 2018-12-30 at 10.43.19.png
Screenshot 2018-12-30 at 10.43.19.png (48.38 KiB) Zobrazeno 913 x
Screenshot 2018-12-30 at 10.44.08.png
Screenshot 2018-12-30 at 10.44.08.png (47.17 KiB) Zobrazeno 913 x
Screenshot 2018-12-30 at 10.42.28.png
Screenshot 2018-12-30 at 10.42.28.png (46.54 KiB) Zobrazeno 913 x
0 x

fujara
Příspěvky: 117
Registrován: 12 years ago

Příspěvekod fujara » 5 months ago

Screenshot 2018-12-30 at 10.45.49.png
Screenshot 2018-12-30 at 10.45.49.png (44.54 KiB) Zobrazeno 912 x

Screenshot 2018-12-30 at 10.46.17.png
Screenshot 2018-12-30 at 10.46.17.png (44.44 KiB) Zobrazeno 912 x

Screenshot 2018-12-30 at 10.44.42.png
Screenshot 2018-12-30 at 10.44.42.png (46.42 KiB) Zobrazeno 912 x
0 x

fujara
Příspěvky: 117
Registrován: 12 years ago

Příspěvekod fujara » 5 months ago

coolerman1 píše:Preto som to tak napisal .viem ze asi len ccr 1036 to zvadne ale ccr 1009 asi urcite nie .chcel som nazor znalych co maju .asi x 86 s xeonom a samostatnymi sietovkami to zvladne .rb 3011 da max 400mbit

No na obrazkoch vidis ze 1009 (s cpu na 1,2Ghz) zvladne to iste co ccr1036 (single ipsec tunnel). A ja dufam ze vidis aj to ze 1100AHx4 alebo RB4011 (ten isty cpu) je na tom najlepsie. V pripade ak tych tunelov bude viac (pouzije sa viac CPU), tak je situacia samozrejme ina...
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: jawan, JCltm a 9 hostů