服务器 Gind.cn
  1. 服务器 Gind.cn
  3. MikroTik GRE over IPSec
Intereting Posts
基于标题值的HAProxydynamic服务器地址 电子邮件以纯文本格式 很多不同的域名,1台服务器 sshd阻止某些主机名的访问 Windows – 访问 – 操作Windows服务器上的pipe理员共享\\计算机名\ c $ 每个客户端的Apache带宽限制,通过子网 Microsoft Exchange 2010安装程序 可以确定Windows服务器是否启用时间同步? 我应该select我的托pipe公司的邮件服务器,还是在我的云服务器上创build自己的邮件服务器? (为了安全) 什么是SQL Server核心版? 云形成 – 更新elb后面的堆栈不会更新AMI 可以一次更新nginx所有的虚拟主机以进行常见更改? 复制的DC如何处理w32tm更改? GPOconfiguration在Windows 10中打开文件浏览器 尽pipeparsing到正确的IP地址,但无法通过FQDN连接到Samba服务器

MikroTik GRE over IPSec

我正在尝试在两台MikroTik设备之间build立GRE over IPSec隧道。 当我嗅探广域网接口时,似乎一切正常,我可以清楚地看到理论上我不应该看到的GRE数据包。

我已经花了几天的时间在这方面,而且我对缺less的东西感到茫然。

1.1.1.1是数据中心WAN,而2.2.2.2是家庭WAN。

路由器1: 

/interface gre add allow-fast-path=no !keepalive local-address=1.1.1.1 name=\ gre-tunnel-home remote-address=2.2.2.2 /ip ipsec peer add address=2.2.2.2/32 dh-group=modp8192 enc-algorithm=blowfish \ hash-algorithm=sha512 lifetime=30m local-address=1.1.1.1 \ nat-traversal=no proposal-check=strict secret=secretcode /ip ipsec policy add dst-address=2.2.2.2/32 proposal=proposal1 sa-dst-address=2.2.2.2 \ sa-src-address=1.1.1.1 src-address=1.1.1.1/32 tunnel=yes

路由器2: 

 /interface gre add allow-fast-path=no !keepalive local-address=2.2.2.2 name=\ gre-tunnel-datacenter remote-address=1.1.1.1 /ip ipsec peer add address=1.1.1.1/32 dh-group=modp8192 enc-algorithm=blowfish \ hash-algorithm=sha512 lifetime=30m local-address=2.2.2.2 \ nat-traversal=no proposal-check=strict secret=secretcode /ip ipsec policy add dst-address=1.1.1.1/32 proposal=proposal1 sa-dst-address=\ 1.1.1.1 sa-src-address=2.2.2.2 src-address=2.2.2.2/32 \ tunnel=yes

不要在您的IPSec策略中使用隧道模式。

这就是Torch展示GRE数据包的原因。

由于您正在encryption整个GRE连接,因此不使用隧道模式就可以保证安全。 无论如何,通过隧道的数据包都将被encryption,所以没有人能够看到谁在与隧道内的人进行通信。

对于嗅探stream量的第三方来说,无论隧道模式如何(即:1.1.1.1通过协议50-ipsec与2.2.2.2进行通信 – 在隧道模式下试图隐藏这些信息都没有好处)几乎相同。

你也将有更less的数据包开销。

来自Mikrotik Wiki :

隧道模式

在隧道模式下,原始IP数据包被封装在新的IP数据包中,从而保护IP有效载荷和IP报头