В городе есть центральный офис и розничный магазин. От розничного магазина на расстоянии около 100 метров находится Дополнительный склад.
Офис и склад соединили UTPшкой. В итоге количество компьютеров и техники дошло до 5 единиц.
Т.к нам нужно прозрачное хождение в сеть центрального офиса будем делать туннель между маршрутизаторами mikrotik.
Схему сети возьмем из предыдущей статьи:
192.168.20.0/24 — Mikrotik RB951Ui — xxx.xxx.xxx.xxx——Глобальная сеть——yyy.yyy.yyy.yyyy — Mikrotik hap lite — 192.168.10.0/24
xxx.xxx.xxx.xxx - ip адрес центрального офиса
yyy.yyy.yyy.yyyy - ip адрес розничного магазина
На стороне центрального офиса
INTERFASCES > ADD(+) > GRE TUNNEL
NAME: GRE_TUNNEL_MAG
REMOTE ADDRESS: yyy.yyy.yyy.yyyy
DSCP: inherit
Dont Fragment: no
Clamp TCP MSS: checked
ALLOW FLASH PATH: checked
IP > ADDRESSES > ADD(+)
ADDRESS: 10.10.10.254/30
INTERFACE: GRE_TUNNEL_MAG
На стороне розничного магазина:
INTERFASCES > ADD(+) > GRE TUNNEL
NAME: GRE_TUNNEL_OFFICE
REMOTE ADDRESS: xxx.xxx.xxx.xxx
DSCP: inherit
Dont Fragment: no
Clamp TCP MSS: checked
ALLOW FLASH PATH: checked
IP > ADDRESSES > ADD(+)
ADDRESS: 10.10.10.253/30
INTERFACE: GRE_TUNNEL_OFFICE
Во вкладе Gre Tunnel около нашего названия GRE_TUNNEL_MAG(GRE_TUNNEL_OFFICE) должны появится буквы R(running).
Теперь можно из терминала пропинговать локальные адреса gre туннелей. Если все хорошо,то туннель поднят и работает.
Дальше нам необходимо его зашифровать.
На стороне розничного магазина
IP > IPsec > Proposals
Name: MAG
Auth. Algorithm: sha1
Encr. Algorithm: 3des, aes-128 cbc
Lifetime: 00:30:00
PFS Group: modp1024
IP > IPsec > Policies
SRC ADDR: yyy.yyy.yyy.yyy
DST ADDR: xxx.xxx.xxx.xxx
Protocol: all
Action: Encrypt
Level: require
IPsec protocols: esp
Tunnel: no check
SA SRC: yyy.yyy.yyy.yyy
SA DST: xxx.xxx.xxx.xxx
Proposal: MAG
IP > IPsec > Peers
Address: xxx.xxx.xxx.xxx
Port: 500
Auth. Method: pre shared key
Exchange mode: main
Passive: not checked
Secret: preshared_key
Policy Template Group: default
Send Initial Contact: checked
NAT Traversal: checked
My ID: Auto — empty
Generate policy: no
Proposal Check: obey
Hash Algorithm: sha1
Encryptions Algorithm: 3des, aes-128 cbc
DH Group: modp1024
IP > Routes > ADD(+)
Dst.Address: 192.168.20.0/24
Gateway: 10.10.10.254
На стороне центрального офиса:
Тоже самое,только в
IP > IPsec > Peers
Address: yyy.yyy.yyy.yyy
Port: 500
Auth. Method: pre shared key
Exchange mode: main
Passive: not checked
Secret: preshared_key
Policy Template Group: default
Send Initial Contact: checked
NAT Traversal: checked
My ID: Auto — empty
Generate policy: no
Proposal Check: obey
Hash Algorithm: sha1
Encryptions Algorithm: 3des, aes-128 cbc
DH Group: modp1024
Маршрут в сеть магазина добавлять не будем,т.к нам ресурсы его не нужны. А если очень надо,то
IP > Routes > ADD(+)
Dst.Address: 192.168.10.0/24
Gateway: 10.10.10.253