Изпечатай

[Ipolit]

Здравейте,
имам следния проблем:
Едни наши клиенти искат да се връзваме към тях през IPSec.
Вързахме се. Въпосът е, че ни разпознават по едно реално IP което сме им дали и това е адресът, през който вземаме интернет от един доставчик.
Ние обаче имаме 5-6 доставчика и като се прецака интернета през този доставчик няма как да се свържем към тях вероятно.
Вчера докато се опитвахме да конфигурираме един Микротик за тая връзка, човекът от клиентите каза, че му ся появяваме с частно ИП (микротикът беше във вътрешната ни мрежа) и нямало да стане. Поради тая причина си направихме конекцията направо на външния рутер, че да виждат туй ИП, което сме им дали. Възможно ли е при опит за иницииране на конекцията от наша страна да се вижда ИП-то на интерфейса, било то и вътрешно или нещо друго е станало.
Питам понеже имаме 2 автономни системи с 4 BGP пиъра и е срамота ако не може да се вържем и по друг начин към тия.
Днес тествах да откача от машината, на която е ИПСека кабела на доставчика, което ИП ползваме за връзката с надеждата, че ще мине през другия доставчик, обаче не стана. Естествено тия имат firewall, който не позволява конекция от не листнат адрес и се чудя има ли смисъл да се мъча да го убеждавам да разреши адреса на другия BGP пиър на тази машина, понеже ако адресът за IPSec тунела се пренася, те ще го видят независимо, че идва от друг доставчик.
Омотано съм го написал, надявам се да разберете какво имам предвид.

Поздрави

[Ipolit]

Чета книгите и си мисля, че NAT-T е ключът. Още повече, че нашия IPSec e с ESP.
Което значи, че наистина ми се е пренесло частното ИП и вероятно ще може да го ползваме да ги достъпваме през всичките си доставчици.

[nslave]

Не мога да помогна особено много, но ми е интересна тема и скоро може би ми предстои реализиране на site-to-site ipsec vpn. Въпросът ми е след като имаш автономна система, ip адреса ти променя ли се като минеш през друг доставчик, че малко се обърках? Също така си мисля, че ако ще се вързваш от различни адреси, е възможно да ги добавят като peer-ове и да работи стига да са предварително известни.

Другото, което мога да ти кажа за ipsec и nat е, че не се съчетават добре от това, което съм чел.

Edit: Също така има значение в какъв режим работи ipsec - tunnel или transport, при transport-а се използва друг вид тунел за свързване между точките и след това ipsec криптира информацията.. което до някаква степен обяснява преноса на ip-тата, защото по този начин двете точки ще се виждат като частна мрежа, там вече заобикалянето на nat се случва като зададеш правило преди маскирането да accept-ва всичко с дестинация съответният subnet. Това в повечето случаи се прави когато не е известно от какъв адрес ще се закача клиента, пътеките да се управляват чрез route-ове (а не политики) или например да се прекара multicast трафик (Може и да бъркам, някой да поправи ако греша).

[Ipolit]

Като имаш автономна система имаш мрежа от клас С, която е достъпна през всичките ти пиъри. Само че ти излизаш в интернет с ИП адрес от BGP сесия с някой от  пиърите - т.е. с техни адреси, а не с твой. IPSec връзката с тези е направена така, че според адреса, с който ги достъпвам те ми проверяват ключа и ме аутентикират. Те вдигат някакво транспортно ИП, аз вдигам друго и връзката е криптирана между тези 2 ИП-та. В случая се използват едни прокси ID-та и има връзка между определена моя частна мрежа и определена тяхна. Тези прокси ИД-та казват кои са двете мрежи, които се виждат през тунела.
Проблемът в случая е, че аз съм им дал ИП адрес, който ми е връзката към единия от BGP пиърите и ако този адрес не се пренася, не мога да ги достъпя през друг пиър, а ако ми падне връзката с този пиър, заминава и тунела.
Според това, което изчетох за NAT-T при иницииране на връзката от моя страна в първия пакет има хедър, който казва от кое ИП иницирам връзката и не пречи това ИП да е частно. Ама сега чакам някой специалист да потвърди дали е така. Днес им пратих няколко мейла с молба да променят в настройките за IPSec връзката src IP адреса ми на 172.23.23.2, но те не искат щото нямало да работи.
А аз си мисля, че ще работи.
Та така

[Archchancellor]

При моя скромен опит (по Juniper-ски), peer-ите са с  Public IP-ta. Като е пуснат NAT-T върху VPN-a, устройствата се оправят. Ти така или иначе се появяваш при тях с Public IP. Като си променят пиъра за VPN-a да е 172.23.23 как ще стигнат до него по рутинг? А това за BGP което си написал е малко (много) странно.

[10101]

При моя скромен опит (по Juniper-ски), peer-ите са с  Public IP-ta. Като е пуснат NAT-T върху VPN-a, устройствата се оправят. Ти така или иначе се появяваш при тях с Public IP. Като си променят пиъра за VPN-a да е 172.23.23 как ще стигнат до него по рутинг? А това за BGP което си написал е малко (много) странно.

+1

"Като имаш автономна система имаш мрежа от клас С, която е достъпна през всичките ти пиъри. Само че ти излизаш в интернет с ИП адрес от BGP сесия с някой от  пиърите - т.е. с техни адреси, а не с твой. "

Тук се загубих.

[BRADATA]

Мале мале какви глупости сте изписали.... Сори ама е така...

1. BGP
Когато имаш AS независимо от ъплинк провайдъра ти достъпваш ресурсите в интернет с IP адрес от твоята AS. Ако се случвна друго - значи не е BGP и има NAT. Вземи си направи справка с доставчика как така излизаш с друго IP. Според мен ти се опитваш да вдигаш тунела на BGP рутера си (което генерално не е добра идея въобще) и затова се получават различни IP-та.

2. IP-SEC
За какви трафици говорим? Питам, защото има начин да се направи IP-SEC с динамичен peer (само единия). Това упражнение се прави когато имаш roadwarrior клиенти и имаш IP-SEC достъп. За повече помощ - нужно е повече информация.

[Ipolit]

Благодаря BRADATA, че се включи.
Uplink-овете винаги са били с нашите IP адреси за връзка с пиърите. Иначе нас ни намират на мрежата от Автономната система.
Сега IPSec връзката е вдигната на BGP рутера и ползва адрес, който ни е за връзка с единия пиър. Така работи. Обаче аз искам да е вътре в мрежата и да мога да си ползвам IPSec връзката през всеки един от доставчиците. Та затова се мъча с това. По принцип ако мога да изляза с адрес от Автономната система, това горе-долу ме устройва.

[Archchancellor]

Като имаш bgp би следвало да излизаш с адреси от твоето адресно пространство.

[BRADATA]

Благодаря BRADATA, че се включи.
Uplink-овете винаги са били с нашите IP адреси за връзка с пиърите. Иначе нас ни намират на мрежата от Автономната система.
Сега IPSec връзката е вдигната на BGP рутера и ползва адрес, който ни е за връзка с единия пиър. Така работи. Обаче аз искам да е вътре в мрежата и да мога да си ползвам IPSec връзката през всеки един от доставчиците. Та затова се мъча с това. По принцип ако мога да изляза с адрес от Автономната система, това горе-долу ме устройва.

Защо просто не го направиш на друг рутер? Каза, че имаш микротик - става за 5 минути... Каква е идеята на цялото нещо?

[Ipolit]

Идеята е да може да работи през няколко доставчика - не едновременно, а ако се счупи основния, да можем да го превключим.
Ние ще имаме 2 тунела и 100 наши човека работят на Citrix App server инсталиран при клиентите, тъй че трябва да имам варианти.
Не мога да разчитам само на един доставчик

[Archchancellor]

Ipolit идеята на BGP е твоите IP префикси да се рутират автоматично през няколко доставчика. Ако както казваш имаш 5-6 различни доставчика, няма значение през кой минаваш, мрежата ти винаги ще е достъпна. BGP-to автоматично ще пре-рутира мрежата ти ако един или друг доставчик отпадне. Като падне един пиър , ще минеш през друг, но пак ще си с IP от твоята мрежа. И наистина е по-правилно IPSec-a да е на отделно желязо , примерно заделено за firewall.

[10101]

Ipolit идеята на BGP е твоите IP префикси да се рутират автоматично през няколко доставчика. Ако както казваш имаш 5-6 различни доставчика, няма значение през кой минаваш, мрежата ти винаги ще е достъпна. BGP-to автоматично ще пре-рутира мрежата ти ако един или друг доставчик отпадне. Като падне един пиър , ще минеш през друг, но пак ще си с IP от твоята мрежа. И наистина е по-правилно IPSec-a да е на отделно желязо , примерно заделено за firewall

И в продължение на горното...Така винаги IP-to описано във въпросния firewall, от което си стартираш VPN ще е едно и също.

[Ipolit]

Да, само дето не излизам с моите ИП-та, ами с тези на пиърите - през който пиър ми е връзката, такова ми е ИП-то.
Иначе мен ме намират на моята си мрежа.

[Archchancellor]

Да, само дето не излизам с моите ИП-та, ами с тези на пиърите - през който пиър ми е връзката, такова ми е ИП-то.
Иначе мен ме намират на моята си мрежа.

Този рутер, който държи BGP-tata, да не прави някакъв interface NAT ? Една vyatta гледах така. А какъв е рутера, ако не е тайна?