Почему инвалидны политики ipsec?

Question

Noah

сети , mikrotik , сетевое-администрирование , gre , network-hardware

Почему инвалидны политики ipsec?

Как исправить проблему с недействительными политиками для соединений gre+ipsec на микротике ccr 1036, 6.48.6, если добавлено более 200 данных соединений? Приведу пример настройки для одного соединения, где центральный офис имеет внешний ip 1.1.1.1, удаленный офис имеет внешний ip 2.2.2.2 и используется /30 маска для туннельных адресов.

24 сентября 2023 г. 13:27

Ответы на вопрос 1

Похожие вопросы

Answer 1

Некоторые возможные причины, по которым политики IPsec могут быть недействительными, включают:

1. Ошибки в настройке параметров безопасности IPsec (например, неправильные алгоритмы шифрования или аутентификации).

2. Неправильные настройки сетевых адресов или подсетей.

3. Конфликты с другими настройками или политиками безопасности на маршрутизаторе или в сети.

Для решения проблемы с недействительными политиками IPsec для соединений GRE+IPsec на маршрутизаторе MikroTik CCR1036 версии 6.48.6 с более чем 200 соединениями, можно попробовать следующие шаги:

1. Проверьте правильность настройки каждого соединения. Проверьте настройки параметров безопасности IPsec, сетевые адреса и подсети.

2. Убедитесь, что не возникает конфликтов с другими политиками безопасности или настройками маршрутизации на маршрутизаторе.

3. Проверьте наличие достаточных ресурсов (например, процессора и памяти) на маршрутизаторе для обработки большого количества соединений IPsec.

4. В случае, если проблема продолжает возникать, попробуйте увеличить настройку "ipsec policy chains" командой "/ip ipsec policy set ipsec-policies-increase-1 chain=forward".

5. Если ни одно из вышеперечисленного не помогает, попробуйте обновить микропрограмму (firmware) маршрутизатора до последней версии или обратитесь в техническую поддержку MikroTik для получения дополнительной помощи.

Пример настройки для одного соединения GRE+IPsec на MikroTik CCR1036 с центральным офисом (1.1.1.1) и удаленным офисом (2.2.2.2) с использованием /30 маски для туннельных адресов:

1. Создайте интерфейс GRE:
```
/interface gre add name=gre1 local-address=1.1.1.1 remote-address=2.2.2.2
```

2. Создайте безопасность IPsec для соединения GRE:
```
/ip ipsec policy add src-address=1.1.1.1 dst-address=2.2.2.2 action=encrypt \
tunnel=yes protocol=gre
```

3. Настройте параметры шифрования и аутентификации для IPsec:
```
/ip ipsec proposal set [ find default=yes ] \
auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=none
```

4. Создайте политику для IPsec:
```
/ip ipsec peer add address=2.2.2.2 auth-method=pre-shared-key \
secret=your_shared_secret
```

5. Привяжите политику к интерфейсу GRE:
```
/interface gre set gre1 ipsec-policy=out,ipsec
```

Пожалуйста, учтите, что это пример настройки и может требоваться дополнительная настройка в зависимости от конкретных требований вашей сети и ситуации.