Автор Тема: Помощ за IPSec  (Прочетена 8331 пъти)

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: Помощ за IPSec
« Отговор #15 -: Jun 11, 2015, 17:22 »
juniper srx220
Активен

Face Your FreeBSD at http://ipolit.hit.bg

BRADATA

  • Напреднали
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: Помощ за IPSec
« Отговор #16 -: Jun 11, 2015, 18:30 »
Да, само дето не излизам с моите ИП-та, ами с тези на пиърите - през който пиър ми е връзката, такова ми е ИП-то.
Иначе мен ме намират на моята си мрежа.

Този рутер, който държи BGP-tata, да не прави някакъв interface NAT ? Една vyatta гледах така. А какъв е рутера, ако не е тайна?
Съвсем нормално е рутера да излиза в интернет през default гейтуея. И като отпадне този пиър, който е бил избран за default - познайте какво... IP-то на рутера се сменя :). И няма нищо странно. Решението е някакъв хардуер с IP-SEC със статично IP от собствената AS и мир. Без значение кой пиър е жив и от къде се рутира трафика - IP-то ще бъде едно и също. Другото решение е с route map таблици и други дивотии, но там не знам как се случват нещата при Juniper. Плюс това вече няколко пъти казахме - генерално не е добра идея да държиш IP-SEC за клиенти на BGP рутера си.
Активен

Archchancellor

  • Напреднали
  • *****
  • Публикации: 41
  • Distribution: Debian
  • Window Manager: Xfce
    • Профил
Re: Помощ за IPSec
« Отговор #17 -: Jun 11, 2015, 21:01 »
Да, само дето не излизам с моите ИП-та, ами с тези на пиърите - през който пиър ми е връзката, такова ми е ИП-то.
Иначе мен ме намират на моята си мрежа.

Този рутер, който държи BGP-tata, да не прави някакъв interface NAT ? Една vyatta гледах така. А какъв е рутера, ако не е тайна?
Съвсем нормално е рутера да излиза в интернет през default гейтуея. И като отпадне този пиър, който е бил избран за default - познайте какво... IP-то на рутера се сменя :). И няма нищо странно. Решението е някакъв хардуер с IP-SEC със статично IP от собствената AS и мир. Без значение кой пиър е жив и от къде се рутира трафика - IP-то ще бъде едно и също. Другото решение е с route map таблици и други дивотии, но там не знам как се случват нещата при Juniper. Плюс това вече няколко пъти казахме - генерално не е добра идея да държиш IP-SEC за клиенти на BGP рутера си.

@BRADATA Това не е точно така. Ако рутера получава цялата BGP таблица, не е задължително да има default gw. Обикновенно ако има default gw, не е лоша идея да се set-ne с по-висока метрика от другите знания.
После, не говорим през кой пиър се рутират знанията(откъде излиза). То различни дестинации може да се рутира през различни пиъри.
За IPSec-a на отделено желязо, да така е. Въпреки , че  srx серията е by design секюрити/рутинг устройство, но srx220 е малко лабав.

@Ipolit Има ли начин да видим конфиг файла,или поне изхода от
Код:
show security nat

Може и на лично, ако те притеснява.
Активен

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: Помощ за IPSec
« Отговор #18 -: Jun 11, 2015, 21:52 »
Моите са с default route и различна метрика за пиърите, щото са си кекави. Пък и няма трафик за баланс. Не получават и пълна BGP таблица. Така карам от 5 години и няма проблем - има интернет и хората ме намират. Сега за пръв път ми трябва да излизам адрес от АС
Активен

Face Your FreeBSD at http://ipolit.hit.bg

drag

  • Напреднали
  • *****
  • Публикации: 83
  • Distribution: Debian; FreeBSD
  • Window Manager: Gnome
    • Профил
Re: Помощ за IPSec
« Отговор #19 -: Jun 12, 2015, 00:53 »
Аз ще започна с "Олеле боже господи"

По същество...

Доста глупости са се изписали, а дизайна на мрежата, която се описва тук е леко потресаващ.

Колко рутера въртят BGP при теб?

В общи линии нещата би следвало да са:

(ISP BGP Peer)------(Local BGP Peer)–––––––(loacal gatewy)------(local clients)

Ако нямаш GW различен от BGP рутера ти, то тогава вдигаш loopback и търкаляш IPSec-a през него. Честно да ти кажа, да ползваш p2p мрежата, която се ползва за BGP сесията е меко казано левашка работа. (Прави се, но в изключително редки случаи, ако няма никакъв друг вариант, а друг вариант винаги има....)

Направи една картинка, която да покаже как изглежда дизайна ти в момента и мога да съм доста по-полезен. За сега толкоз

Между другото дали получаваш цялата BGP таблица или само Default-и в случая няма абсолютно никакво значение.

Поздрави



Активен

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: Помощ за IPSec
« Отговор #20 -: Jun 12, 2015, 09:16 »
Тъй, оказа се че аз съм тъп и BGP рутера си работи както трябва.
И компютрите, към които има НАТ за IP-та от автономната система си излизат в интернет с тези си IP-та.
Следователно ще си направя един микротик с IP от АС и хората ще ме чакат от този адрес.
Следващият въпрос е относно това, за което говори drag.
Ако нещо не ми се получи IPSec-а на микротика, защото има известна вероятност да не успея да го наглася - просто всичко на микротика е с различни имена, ако сложа адрес от AS на lo интерфейса на Junipera и закача IPSec конекцията да е от него, с този адрес ли ще излизам към клиентите?
Активен

Face Your FreeBSD at http://ipolit.hit.bg

drag

  • Напреднали
  • *****
  • Публикации: 83
  • Distribution: Debian; FreeBSD
  • Window Manager: Gnome
    • Профил
Re: Помощ за IPSec
« Отговор #21 -: Jun 12, 2015, 14:42 »
Много неизвестни има в товйта задачка, за това поисках картинка. Само с обяснения няма да стане.

В моя случай, под core рутерите най общо имам firewall (Cisco asa), които е GW за цялата ми мрежа. На него са ми всички VPN-и (site2site, както и една камара remote access-и)

Като цяло от това, което чета, дизайна ти из начале куца. Иначе да, с lo интерфейс ще си решиш проблема.

Ако забучиш микротик с публичен адрес от твоя сегмент, имай предвид че интерсния трафик трябва да минава през него (директно закачени клиенти на него или policy routing)

Но... за да бъда максимално полезен дай топология за да ти кажа къде кво. Ако се притесняваш да я споделяш публично, пиши на лично и ще опитам да ти помогна. Все пак инам някакъв скромен опит - Търкалям BGP с два доставчика, натя около 600 клиента и имам около 200 IPsec сесии ;)

Та... слушай кво ти пее радиото.
« Последна редакция: Jun 12, 2015, 15:10 от drag »
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
VPN IPSec problem
Хардуерни и софтуерни проблеми
My6MoPoK 7 5533 Последна публикация Mar 16, 2005, 10:31
от
Ipsec road warrior
Хардуерни и софтуерни проблеми
Summerborn 0 1866 Последна публикация Sep 11, 2006, 11:49
от Summerborn
GRE over Ipsec
Настройка на програми
Archer 0 2175 Последна публикация Nov 19, 2008, 18:00
от Archer
IPSec VPN Tunnel Помощ за Свръзка > .....
Хардуерни и софтуерни проблеми
skate 0 3159 Последна публикация Feb 17, 2010, 14:07
от skate
Centos IPSec Cisco
Настройка на програми
rcbandit 0 1926 Последна публикация Nov 28, 2011, 17:03
от rcbandit