web-dev-qa-db-ja.com

MikroTik GRE over IPSec

2つのMikroTikデバイス間にGREoverIPSecトンネルを確立しようとしています。 WANインターフェイスをスニッフィングすると、理論的には見ることができないはずのGREパケットをはっきりと見ることができます。

私はこれに数日を費やしました、そして私は何が欠けているのか途方に暮れています。

1.1.1.1はデータセンターWANであり、2.2.2.2はホームWANです。

ルーター1:

/interface gre
add allow-fast-path=no !keepalive local-address=1.1.1.1 name=\
    gre-tunnel-home remote-address=2.2.2.2

/ip ipsec peer
add address=2.2.2.2/32 dh-group=modp8192 enc-algorithm=blowfish \
    hash-algorithm=sha512 lifetime=30m local-address=1.1.1.1 \
    nat-traversal=no proposal-check=strict secret=secretcode

/ip ipsec policy
add dst-address=2.2.2.2/32 proposal=proposal1 sa-dst-address=2.2.2.2 \
    sa-src-address=1.1.1.1 src-address=1.1.1.1/32 tunnel=yes

ルーター2:

/interface gre
add allow-fast-path=no !keepalive local-address=2.2.2.2 name=\
    gre-tunnel-datacenter remote-address=1.1.1.1

/ip ipsec peer
add address=1.1.1.1/32 dh-group=modp8192 enc-algorithm=blowfish \
    hash-algorithm=sha512 lifetime=30m local-address=2.2.2.2 \
    nat-traversal=no proposal-check=strict secret=secretcode

/ip ipsec policy
add dst-address=1.1.1.1/32 proposal=proposal1 sa-dst-address=\
    1.1.1.1 sa-src-address=2.2.2.2 src-address=2.2.2.2/32 \
    tunnel=yes
2
john.mill

IPSecポリシーでトンネルモードを使用しないでください。

これが、トーチにGREパケットを表示させる原因です。

GRE接続全体を暗号化するため、トンネルモードを使用しないことで同様に安全になります。トンネルを通過するパケットはとにかく暗号化されるため、誰がトンネル内の誰と通信しているかを誰も見ることができません。

トラフィックをスニッフィングするサードパーティにとっては、トンネルモードに関係なくほぼ同じです(つまり、1.1.1.1はプロトコル50-ipsecを介して2.2.2.2と通信します-トンネルモードでこの情報を隠そうとしてもメリットはありません)。

また、パケットのオーバーヘッドが少なくなります。

から Mikrotik Wiki

トンネルモード

トンネルモードでは、元のIPパケットが新しいIPパケット内にカプセル化されるため、IPペイロードとIPヘッダーが保護されます。

2
Cha0s