Ben een testje aan het doen met IPSEC (dank u Tim/Fusa voor de stuff die je onlangs hebt verkocht via Userbase).
Ik heb een aantal IPSEC tunnels liggen van clients naar 1 hoofdfirewall (in datacenter Fusa )
Ik wil nu dat client 1 connectie kan maken met client 2 zonder een 2de ipsec tunnel te moeten maken tussen de 2 clients?
Kan ik het verkeer volledig routeren via de hoofdfirewall?
MPLS is geen optie.
Client A Intern lan = 10.10.1.0/24
Client B Intern Lan = 10.10.2.0/24
Client C Intern Lan = 10.10.3.0 /24
Ze maken allemaal een IPSEC naar een routerboard die in een datacenter staat. (intern lan = 10.10.254.0/24)
Nu moet client A aan het intern lan kunnen van van client C (en omgekeerd) zonder dat tussen client A en C een ipsec tunnel wordt opgebouwd.
Alles moet dus gaan via het routerboard in het datacenter.
Heb al geprobeerd op de clients via Routing maar dan gaat die niet via de tunnel. (ofwel doe ik iets verkeerd)
Helaas kan ik niet verder met deze documenten.
Mijn IPSEC werkt tussen clients en het datacenter..
Er staat helaas nergens in vermeld hoe ik van de 1ne client naar de andere client kan gaan door de ipsec tunnels
In bijlage een zeer amateuristische schema (had nu geen visio beschikbaar)
Rode lijnen zijn de ipsec tunnels
moet dus via client A naar client C kunnen geraken zonder tussen client A en C een IPSEC verbinding te moeten maken.
Ik wil 1 globale Routerboard hebben waar alle verkeer door heen moet voor betere management te hebben + zonder extra kosten van extra ip-adressen op telenet/belgacom lijnen te hebben.
Wie kan mij op weg helpen?
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
guntherstassen schreef:Mijn IPSEC werkt tussen clients en het datacenter..
Er staat helaas nergens in vermeld hoe ik van de 1ne client naar de andere client kan gaan door de ipsec tunnels
Je routerboard kan al je clients pingen? Check of er geen extra routes moeten toegevoegd worden om het verkeer door de ipsec tunnels te sturen
ja, vanaf de routerboard in het datacenter kan ik pingen naar de client routerboards en de clientpc's die er achter staan.
De tunnels opzetten is geen enkel probleem. maar het verkeer van a naar c krijgen zonder een extra ipsec op te zetten tussen a en c lukt dus niet (ik wil geen ster ipsec aanmaken)
Ivm management...
Bij sonicwall kan je dus hetzelfde princiepe doen (en ook goed werkend gekregen). Ik kon daar die in het datacenter stond op 1 plek zeggen dat client a nu niet meer naar client c mocht connecten maar client a nu naar client b mocht connecten (gewoon routing regels instellen)
En dit mis ik dus bij Mikrotik en vind nergens terug hoe ik dat daar moet instellen
Ik zou denken dat je op de centrale unit een static route moet ingeven (en wss al hebt) om te definieren welke ranges zich achter tunnel A, resp tunnel C bevinden. Raar dat ie incoming traffic uit tunnel A niet meer langs diezelfde routes runt om te verifieren of hij ze niet moet doorsturen.
Er zijn een aantal opties naar gelang hoe schaalbaar je het wil.
- Je kan bv in je remote encryption domain zetten : 10.10.0.0 /16 dan stuur je 10.10.0.0 tem 10.10.255.255 naar de ipsec, waar hij niet weg mee kan dropped je centrale router.
- Je zet een ipip of gre of andere point to point tunnel op die je als je wil encrypten in ipsec zet, daarna zet je een dynamic routing protocol op, en announce je dynamisch je routes vanaf het datacenter, perfect schaalbaar.
Bedankt om mee te denken/helpen.
Ik kreeg mijn opzet helaas niet klaar omdat ik geen extra routingregels kon instellen voor de ipsec
Ik heb nu een testopzet gemaakt met l2tp. Dit werkt wel perfect.
Enig minpuntje.. Is L2TP even goed als een ipsec tunnel?
L2TP is geen probleem.. Ik ga van client 1 naar client 2 via mijn Datacenter via NAT maar van zodra ik IPSEC er op zet werkt de hele NAT niet meer...
Wil dus GEEN "STER" vpn-tunnels aanleggen. Alles moet via de Mikrotik in het datacenter gaan.
kan je eens je pptp script (export) eens hier plaatsen of vip PM want bij mij op mijn RB2011 en crs125 krijg ik de vpn via PPTP enkel intern werkend, extern geraak ik niet ingelogd, heb de wiki.mikrotik al meermaals geprobeerd en ook de versies via het forum maar lukt enkel intern, en het is uiteraard de bedoeling van het extern te gebruiken.....
Heb gisteren ook de nieuwe firmware versie 6.18 geinstalleerd....bij de vorige versie 6.17 was er een directe pptp vpn voorzien, echter voor niet alle platformen, men beloofde dit in de volgende firmware recht te zetten, echter bij 6.18 niks van terug te vinden ?
En dan moet je natuurlijk de nodige routeringen maken wat er allemaal door die VPN mag gaan.
IP-SEC ben ik nog aan het worstelen om die daar bovenop te zetten.
)
Post made via mobile device ]
