MikroTik GRE sobre IPSec

2

Estou tentando estabelecer um GRE no túnel IPSec entre dois dispositivos MikroTik. Tudo parece funcionar ainda quando eu cheirar a interface WAN eu posso ver claramente os pacotes GRE que, teoricamente, eu não deveria ser capaz de ver.

Eu passei alguns dias nisto e estou perdido sobre o que está faltando.

1.1.1.1 é o datacenter WAN, enquanto 2.2.2.2 é a WAN inicial.

Roteador 1:

/interface gre
add allow-fast-path=no !keepalive local-address=1.1.1.1 name=\
    gre-tunnel-home remote-address=2.2.2.2

/ip ipsec peer
add address=2.2.2.2/32 dh-group=modp8192 enc-algorithm=blowfish \
    hash-algorithm=sha512 lifetime=30m local-address=1.1.1.1 \
    nat-traversal=no proposal-check=strict secret=secretcode

/ip ipsec policy
add dst-address=2.2.2.2/32 proposal=proposal1 sa-dst-address=2.2.2.2 \
    sa-src-address=1.1.1.1 src-address=1.1.1.1/32 tunnel=yes

Roteador 2:

/interface gre
add allow-fast-path=no !keepalive local-address=2.2.2.2 name=\
    gre-tunnel-datacenter remote-address=1.1.1.1

/ip ipsec peer
add address=1.1.1.1/32 dh-group=modp8192 enc-algorithm=blowfish \
    hash-algorithm=sha512 lifetime=30m local-address=2.2.2.2 \
    nat-traversal=no proposal-check=strict secret=secretcode

/ip ipsec policy
add dst-address=1.1.1.1/32 proposal=proposal1 sa-dst-address=\
    1.1.1.1 sa-src-address=2.2.2.2 src-address=2.2.2.2/32 \
    tunnel=yes
    
por john.mill 29.08.2016 / 05:44

1 resposta

2

Não use o modo de encapsulamento na sua diretiva IPSec.

Isso é o que faz com que o Torch mostre os pacotes GRE.

Como você está criptografando toda a conexão GRE, ela ficará tão segura quanto não usar o modo de encapsulamento. Os pacotes que passarem pelo túnel serão criptografados de qualquer forma, para que ninguém consiga ver quem está se comunicando com quem está dentro do túnel.

Para uma terceira pessoa farejando o tráfego, ela será praticamente a mesma, independentemente do modo de túnel (ex: 1.1.1.1 se comunica com o 2.2.2.2 sobre o protocolo 50-ipsec - não há nenhum benefício em tentar ocultar essa informação com o modo de encapsulamento ).

Além disso, você terá menos sobrecarga de pacotes.

Em Mikrotik Wiki :

Tunnel mode

In tunnel mode original IP packet is encapsulated within a new IP packet thus securing IP payload and IP header.

    
por 29.08.2016 / 15:16