Настройка IPSec между Fortinet Fortigate и Mikrotik в туннельном режиме с передачей маршрутов по BGP
ฝัง
- เผยแพร่เมื่อ 22 ส.ค. 2024
- Настраиваем туннель GRE с IPSec, меняемся маршрутами по BGP, теряем немного времени из-за сюрпризов)
Такая же штука на Check Point - • Настройка IPSec между ...
В общем и целом конечно не плохо, спасибо за проделанную работу.....но это просто адовое видео! Вы делаете какие то настройки...которые "остались с того раза", перескакиваете, лучше бы время которое Вы тратите на лирические отступления потратили на план повествования. Выше видео можно сделать меньше по крайней мере в 3 раза и информативнее в 150 раз. Если взялись за съемки видео обучающего так и делайте, но берите default железо, а не где есть настройки которые тупо отключены, а то какие то перфораторы-табуретки-ой, тут зависло-.....Реально воспринял данный материал как спасение в моей ситуации, по факту потратил 2 дня кряду, пока не прочитал мануалы. Короче как за видео, которое расширяет кругозор - 5 баллов, как за подобие мануала - твердая 2! Потому что не только не помогает, но и вредит. (Мнение субъективное, написано на эмоциях потому что если настраивать как описано у Вас, то ничего работать не будет).
Добрый день. Два дня потратил для того, чтобы настроить на реальном железе :-) Никак не хотел пинговаться соседний GRE интерфейс, хоть убей! Загвоздка была в NAT-T - отключил на микротике и все заработало.
а он не использует GRE+), если заметишь он поставил галочку IPSEC тунель мод
Добрый вечер. У меня такая же проблема как у Andrew Levshin. "При поднятом туннеле - хосты в LAN перестают видеть микротик, он их тоже не видит. Как только туннель гашу - хосты видять микротик, и он их тоже. При этом при поднятом туннеле - внутренний интерфейс микротика со стороны фортигейта - виден." Как не крутил правила в IPSec на микротике, либо туннель работает, либо хосты. Собрал все в EVE-NG. Тема очень актуальная, фортигейтов продается очень много, а микротиков осталось еще больше.
Приветствую, постоянно отвечаю на один и тот же вопрос, видимо не совсем доступно - проблема в ваших правилах IPSec, например, на 17:26 хороший стоп-кадр - добавьте исключение по аналогии с 210й подсетью и всё будет работать, удачной недели,
Hi, thanks my friend. This video save me.
Hello, it's great - wish you good luck with new cases!
Добрый день, Пётр!
У меня такая же ситуация, как и у Андрея. В политиках IPSec только #1 и #4 (как на видео на 8:56 минуте).
Геннадий, приветствую, если я правильно понял вопрос - вам нужно просто добавить исключения как в правиле №1 для всех локальных подсетей,
@@pkuzeev Пётр спасибо за обратную связь. Да, вы правы, это помогло. Однако есть проблема. Согласно политике IPSec #4 весь трафик "заворачивается" в gre, и с самого микротика я могу пинговать сети как за фортиком, так и за микротиком. При этом при поднятом туннеле - внутренний интерфейс микротика со стороны фортигейта - виден. А сети между собой не пингуются. Хелп ми!!! Работаю с микротиком всего три месяца, и ещё ни как не могу понять логику его работы.
Разве не нужно GRE делать и со стороны фортигейта?
Да, заметил не создается интерфейс Gre со стороны Fortigate
Я наверное что-то упускаю, но когда я пробую сделать так же как у вас в видео - с такими же настройками, у меня при поднятом туннеле - хосты в LAN перестают видеть микротик, он их тоже не видит. Как только туннель гашу - хосты видять микротик, и он их тоже. При этом при поднятом туннеле - внутренний интерфейс микротика со стороны фортигейта - виден.
Андрей, добрый вечер, проблема скорее всего в правилах IPSec на Mikrotik или в их порядке,
Андрей, фортик настраиваем так - kb.fortinet.com/kb/search.do?cmd=displayKC&docType=kc&externalId=FD40311&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=153734307&stateId=1%200%20153732411%27)
Микротик так - mikrotik.vetriks.ru/wiki/VPN:GRE_%D0%B8_IPsec_(%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%B0%D1%8F_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0,_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F)
OSPF на микротике - itproffi.ru/ospf-mikrotik-polnaya-instruktsiya-po-nastrojki-ospf-na-mikrotik/
А то, что сделал Пётр - не GRE over IPsec (т.е. ipsec в транспортном режиме). А просто IPsec в туннеле. Короче налажал, и нам голову дурит.
Пётр, подскажите, имеется ли возможность, настроить несколько l2tp ipsec туннелей для удалённого доступа, на одном интерфейсе провайдера, например: native windows? cisco vpn client и forticlient vpn ?
Денис, добрый вечер, почему нет - в плане l2tp, например, группы поделить, вот и несколько профилей, в плане остальных клиентов, так они друг другу не мешают, для vpn клиентов Fortinet, вообще, всё достаточно гибко - можно менять SSL порт и настройки IPSec править на самом клиенте,
@@pkuzeev в общем 2 вот таких туннеля одновременно не уживаются на одном внешнем интерфейсе: drive.google.com/file/d/1qowkq3xWwGcvEJKmjTRyw360YoPrcWDc/view?usp=sharing