Sifrovanie GRE

brandonsk

Ahoj,

snazim sa urobit si site-to-site prepojenie. Standardne co pozeram, tak sa robi IPSEC a cez neho pripadne GRE, ak chcem viac nez len IP protokol.

Moj problem je ten, ze 1 z MT ma 1 NAT verejnu IP a ani za svet tam neviem rozbehat ipsec (skusal som vsetko mozne - uz asi tyzden :( )

Tak som zacal hladat alternativu... Ked som urobil GRE tunel, tak vsetko okamzite bezalo ako ma s velmi rychlimi odozvami sa vedia spojit vsetci klienti oboch prepojenych LAN.

GRE je ale nesifrovany. Tak hladam sposob, ako zabezpecit komunikaciu v tomto tuneli. A opat jediny sposob co mi napadol bolo spojazdnit ipsec medzi koncovymi bodmi GRE tunelu (teda nieco co by som popisal ako ipsec vo vnutri GRE). Len neviem, ci to cele ma zmysel, alebo je to hlupost a ci existuje nieco rozumnejsie.

MT1:

WAN: 1.1.1.1

LAN: 10.0.1.0/24

GRE adresa: 192.168.1.2

MT2:

WAN: 2.2.2.2 (Public - NAT-ovana); 172.22.2.2 (realne priradena na interface)

LAN: 10.0.2.0/24

GRE adresa: 192.168.1.1

V tomto nastaveni GRE slape v pohode.

Dalej som pridal IPSEC, kde na MT1 je peer definovany ako 192.168.1.1; a na MT2 je peer 192.168.1.2

Spojenie ipsec sa nadviazalo (aj phase2) a viem nadalej pingovat jednotlivych klientov medzi sebou. Len neviem, ci aj komunikacia je sifrovana :)

Dakujem vopred za rady.

majklik

Nu, pokud máš ten NAT 1, tak je možnost to n straně toho Mikrotiku "odnatovat" zpět na veřejnou IP a pak udělat normální GRE/IPsec transport, jk kdyby byla veřejka přímo na něm. Postup je v podstatě popsán zde, kde se řešilo to stejné pro L2TP/IPsec na straně serveru: <--- l -->viewtopic.php?f=5&t=20473&p=197940#p197940<--- l -->

brandonsk

Super!

ten post, ktory si mi preposlal, na ten som narazil pri niecom uplne inom asi pred pol rokom. Povedal som si, ze ake super riesenie a ze ho raz vyskusam (a nedal medzi oblubene zalozky). Ani nehovorim, ako dlho som ho odvtedy hladal a bez vysledku. Dnes vecer to odskusam a dam vediet. To by potom riesilo cely problem.

Ale aby sme nezostali pre buducich citatelov dlzni odpoved na povodnu otazku - mnou popisane sifrovanie medzi 2 koncovymi adresami "vo vnutri" GRE tunelu je blbost alebo to tiez funguje a tym padom data (minimalne na urovni IP) su pri prenose sifrovane?

brandonsk

Ahoj,

tak pre uplnost - po aplikacii toho "figlu" na ktory si mi dal link som IPSEC rozbehal. Je tam samozrejme potreba este pridat na oboch koncoch pravidla do firewall-u, ale to uz je popisane aj vo wiki dokumentacii k MT ipsec.

Este raz dakujem za pomoc.

majklik

Blahopřeji k úspěchu.

Co se týče otázky udělat prvně nešifrovaný GRE tunel a do něj strčit IPsec tunel kvůli ojebání NATu, tak ano, bude to fungovat a data uvnitř IPsec se budou šifrovat (kdysi jsem i něco tkového použil, abych obešel NAT prznící IPsec, jen to bylo L2TP místo GRE). Ale raději bych to nedělal kvůli efektivitě přenosu, když to jde ojebat, jak jsi ojebal. Variata, že mám GRE tunel nesoucí data a ten následně zašifruji pomocí vnějšího IPsec transportu je efektivnější.

A můžeš i zvážut, zd potřebuješ kombinaci GRE/IPsec transport nebo použít jen čistý IPsec tunel. Do GRE se příjemněji routuje než psát SPD pravidla a je nutný, pokud chci skrz tunel používat věci tupy dynamický routing, MPLS.

coolerman1

Vie mi niekto poradit aky stroj z mikrotiku by zvladol IPsec GRE aspon 1gbit ?

daza

Potrebujes stroj s podporou hw sifrovani... :) mikrotik ma model asi za 1600 kacek...

https://www.czc.cz/mikrotik-routerboard-rb760igs/242486/produkt

Ale tam stejne se dostanes na 400 - 500 mbit....

Nevim jak jsou na tom CCR, ale ty jsou pomerne draha sranda... :)

fujara

Vie mi niekto poradit aky stroj z mikrotiku by zvladol IPsec GRE aspon 1gbit ?

Tu mas zoznam RB ktore vedia hw sifrovanie:

https://wiki.mikrotik.com/wiki/Manual ... celeration

Tu si vies pozriet jednotlive RB a ked si kliknes na Test results tam mas IPsec test results:

https://mikrotik.com/products

napr. CCR1009 :

https://mikrotik.com/product/CCR1009-7G ... estresults

Rozhodni sa co vlastne chces IPSEC alebo GRE? Su to dve rozdielne veci. Vsetko co som pisal hore je o IPSEC.

Mikrotik vie HW sifrovat IPSEC, L2TP, EOIP

coolerman1

Preto som to tak napisal .viem ze asi len ccr 1036 to zvadne ale ccr 1009 asi urcite nie .chcel som nazor znalych co maju .asi x 86 s xeonom a samostatnymi sietovkami to zvladne .rb 3011 da max 400mbit

fujara

Predpokladam ze potrebujes cez jedenn ipsec tunel pretlacit co najviac. Tu mas Single tunnel IPsec throughput pre rozne RB.

<--- ia0 -->Screenshot 2018-12-30 at 10.42.28.png<--- ia0 --><--- ia1 -->Screenshot 2018-12-30 at 10.42.28.png<--- ia1 --><--- ia2 -->Screenshot 2018-12-30 at 10.42.28.png<--- ia2 -->

fujara

<--- ia0 -->Screenshot 2018-12-30 at 10.45.49.png<--- ia0 -->

<--- ia1 -->Screenshot 2018-12-30 at 10.46.17.png<--- ia1 -->

<--- ia2 -->Screenshot 2018-12-30 at 10.44.42.png<--- ia2 -->

fujara

Preto som to tak napisal .viem ze asi len ccr 1036 to zvadne ale ccr 1009 asi urcite nie .chcel som nazor znalych co maju .asi x 86 s xeonom a samostatnymi sietovkami to zvladne .rb 3011 da max 400mbit

No na obrazkoch vidis ze 1009 (s cpu na 1,2Ghz) zvladne to iste co ccr1036 (single ipsec tunnel). A ja dufam ze vidis aj to ze 1100AHx4 alebo RB4011 (ten isty cpu) je na tom najlepsie. V pripade ak tych tunelov bude viac (pouzije sa viac CPU), tak je situacia samozrejme ina...