Como excluir o tráfego de LAN da política IPSEC

Navegue suas respostas
1

Estou tentando substituir um dispositivo de firewall / VPN (Snapgear SG300) por outro (Mikrotik RB951G-2HnD). Meu roteador atual funciona, mas, para o novo roteador mikrotik, quando eu adiciono o túnel da fase 2, não consigo mais acessar o roteador.

Eu suspeito que o problema é causado por minha LAN ser um subconjunto do que é encapsulado no meu escritório.

Se eu tiver um túnel de fase 2 de 10.0.0.0/8 e minha LAN local for 10.1.1.0/24 (e o roteador for 10.1.1.1), como configuro isso?

Eu tentei criar uma política que excluísse 10.1.1.0/24 - > 10.1.1.0/24 passar, mas ou eu fiz errado ou não era a coisa certa a fazer.

    
por Scott Nelson 06.05.2014 / 16:37

1 resposta

0

A única maneira de evitar inconsistências de roteamento é configurar um túnel que não se sobreponha ao seu segmento de rede local.

Dê uma olhada nos diagramas Fluxo de pacotes do RouterOS . Se o CIDR do seu túnel for tão amplo, todos os pacotes atingirão a etapa de criptografia do IPsec e, uma vez lá, IPsec as políticas não fornecerão o comportamento "ignorar IPsec" que você pretende configurar; os pacotes não podem ser criptografados (ação IPsec = nenhum), mas cabeçalhos de protocolo IPsec serão adicionados e o endereço IP pode ser mutilado de acordo com as SAs.

    
por 30.05.2014 / 12:26

Tags

Como adicionar regra de reescrita para redirecionar url no Apache Web Server Como posso obter o openSSL para rodar no meu servidor web com um chroot PHP5-FPM?