Может ли быть одновременно настроено и функционировать три туннеля IPSEC на маршрутизаторах Mikrotik, используя одного и того же интернет-провайдера?

Question

Эрнест

gre , vpn , mikrotik , ipip

Может ли быть одновременно настроено и функционировать три туннеля IPSEC на маршрутизаторах Mikrotik, используя одного и того же интернет-провайдера?

Микротик >> У меня есть два маршрутизатора Mikrotik, каждый из которых подключен к одному и тому же провайдеру с использованием белых IP-адресов. <br/> <br/> В рамках образовательного эксперимента я настроил три туннеля для соединения с VPS, используя Router OS Cloud. Эти туннели работают совместно, но без шифрования, используя протоколы IPIP, GRE и L2TP. <br/> <br/> Я попробовал активировать опцию "Use Ipsec" и задать различные пароли для каждого туннеля (IPIP, GRE и L2TP). В результате на обоих маршрутизаторах Mikrotik были созданы динамические параметры IPSEC. Однако при этом одновременно ни один из трёх туннелей с шифрованием не может работать – только один из них, любой на выбор. <br/> <br/> Мои действия: <br/> <br/> <i>1. Я попытался создать ручные настройки IPSEC, но не понял, как интегрировать их именно с туннелями. Я пришёл к выводу, что это больше подходит для конфигурации IPSEC &gt;&gt; IPSEC в транспортном режиме, а не для конкретных настроек туннельных протоколов.</i> <br/> <br/> <i>2. Я пытался добавить третий маршрутизатор Mikrotik в эту схему и подключиться через L2TP (IPSEC). При этом соединение от первого к второму маршрутизатору через L2TP (IPSEC) работало. Но с GRE и IPIP с включенным IPSEC я не пробовал, так как только без шифрования все туннели работали одновременно.</i> <br/> <br/> <b>Меня интересует, возможно ли, что такая схема будет работать только в случае, если маршрутизаторы Mikrotik, которые отвечают за туннели в режиме клиента, имеют разные IP-адреса от трёх провайдеров? <br/> <br/> Или, если никто не сможет найти решение, то стоит ли оставить GRE с включенным IPSEC, а L2TP использовать без IPSEC с mschap2 (поскольку обеспечивает 128-битное шифрование, что лучше, чем ничего)? Также стоит ли отказаться от использования IPIP, который, как я понимаю, применяется очень редко?</b>

26 декабря 2024 г. 10:53

Ответы на вопрос 2

Похожие вопросы

Answer 1

Ваша ситуация с настройкой IPsec туннелей на маршрутизаторах Mikrotik действительно может быть связана с рядом проблем и ограничений, но давайте разберем детали.

### 1. Одновременно работающие IPsec туннели

На маршрутизаторах Mikrotik возможна настройка нескольких IPsec туннелей, однако, как правило, для успешной работы нескольких туннелей необходимо, чтобы каждый из них имел уникальные параметры настройки и не конфликтовал с другими. Ваша проблема с тем, что только один туннель работает с шифрованием, скорее всего связана с конфигурацией IPsec политики и идентификации.

### 2. Использование разных IP-адресов

Если вы используете один и тот же внешний IP-адрес (или даже подсеть) для всех маршрутизаторов, это может вызвать конфликты в маршрутизации и аутентификации. Многие провайдеры предполагают, что клиент использует один внешний IP для одного соединения, особенно при работе с IPsec. Если ваши маршрутизаторы используют разные IP-адреса, это упростит задачу и может устранить возможные конфликты.

### 3. Ручная настройка IPsec

Вы правы в том, что более детальная ручная настройка IPsec может быть необходима для уникальных туннелей. Вам нужно удостовериться, что каждый туннель имеет свои собственные маршруты и настройки параметров безопасности (SA), чтобы избежать путаницы между ними.

### 4. Альтернативы и компромиссы

- **GRE + IPsec**: GRE с IPsec — это хорошее решение для туннелирования, если вам нужно передавать не только IP трафик, но и другие протоколы. Однако, как вы заметили, это может быть сложнее настроить при наличии нескольких туннелей.

- **L2TP без IPsec**: Если L2TP с mschap2 обеспечивает вас необходимым уровнем шифрования (хотя он не так силен как IPsec), вы можете рассмотреть использование этого подхода для управления соединениями.

- **IPIP**: Как вы отметили, IPIP не так часто используется и в большинстве случаев GRE или L2TP являются более предпочтительными вариантами. Если IPIP не является критически важным для вашего теста, вы можете его исключить.

### Рекомендации

1. **Попробуйте разнести маршрутизаторы на разные IP-адреса**, чтобы увидеть, сможете ли вы запустить все туннели одновременно.
2. **Проверьте конфигурацию IPsec для каждого туннеля**, чтобы удостовериться, что настройки не конфликтуют друг с другом. Для этого вы можете использовать разные алгоритмы и ключи.
3. **Сосредоточьтесь на одном или двух туннелях**, возможно, те, которые вам наиболее необходимы (например, GRE с IPsec + L2TP без IPsec), чтобы упростить тестирование и добиться стабильной связи.
4. При необходимости протестируйте порядок и настройки NAT на маршрутизаторах, чтобы избежать дополнительных затруднений с маршрутизацией.

Если возникнут дополнительные вопросы или потребуется помощь в настройке, не стесняйтесь обращаться!

Answer 2

Все вот это умножить на нуль. IPSec прекрасно работает без городушек - и в режиме микротик-микротик и в режиме микротик-линух и в режиме roadwarrior (виндовый обычно, хотя можно и  андроид и линух и микротик клиент с произвольного ip). 
 Главное тут будет настроить политики, потому что трафик разруливается политиками (это такой аналог таблицы маршрутизации) - как напишете политики - так и будет. 
 
 Одновременно может работать столько, сколько тянет микротик - у меня вот сейчас четыре поднято - два сеть-сеть, два точка-сеть, 3% загрузки...