Настройка IPSec VPN туннелей с помощью оборудования Mikrotik

Друзья, сразу обращу ваше внимание, чтобы не было ни каких дальнейших дискуссий и поиска решений для не решаемых задач, с полной ответственностью заявляю, что для построения подобного туннеля нужны исключительно белые IP-адреса на обоих точках, так как набор протоколов, которые использует IPsec, не может работать через NAT из-за того, что при использовании NAT происходит изменение заголовков пакетов, а IPsec этого не приемлет по соображениям безопасности.

Также важно понимать, что IPsec работает не только в туннельном, но и в транспортном режиме передачи, о чем более подробно можно ознакомиться в wiki самого Mikrotik: https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Transport_mode_2

Какой протокол использовать — АН или ESP?

Проблема выбора между протоколами АН и ESP встречается не так часто, но она может показаться довольно сложной и при настройке скорее всего будет тупо задействован тот протокол, который использован в том или ином найденном мануале. А где гарантия, что это то, что нам нужно?

Если вам необходимо знать, что данные из идентифицированного источника передаются без нарушения целостности, а их конфиденциальность обеспечивать не требуется, используйте протокол АН, который защищает протоколы высших уровней и поля заголовка IP, не изменяемые в пути. Защита означает, что соответствующие значения нельзя изменить, потому что это будет обнаружено второй стороной IPSec и любая модифицированная дейтаграмма IP будет отвергнута. Протокол АН не обеспечивает защиту от прослушивания канала и просмотра нарушителем заголовка и данных. Но поскольку заголовок и данные незаметно изменить нельзя, измененные пакеты отвергаются.

Если необходимо сохранить данные в тайне (обеспечить конфиденциальность), используйте ESP. Данный протокол предполагает шифрование протоколов высших уровней в транспортном режиме и всей исходной дейтаграммы IP в туннельном режиме, так что извлечь информацию о пакетах путем прослушивания канала передачи невозможно. Протокол ESP может также обеспечить для пакетов сервис аутентификации. Однако при использовании ESP в транспортном режиме внешний оригинальный заголовок IP не защищается, а в туннельном режиме не защищается новый заголовок IP. При использовании IPSec пользователи скорее применят туннельный режим, чем транспортный.


Категории: Оборудование

Комментирование отключено