Есть SRX
вот с таким вот конфигом IPSEC
security {
ike {
traceoptions {
file ike.log size 100k files 2 world-readable;
flag database;
flag all;
}
proposal ike-prop-mikrotik {
description mikrotik_gre_ipsec;
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
lifetime-seconds 1800;
}
policy ike-policy {
mode main;
proposals ike-prop-mikrotik;
pre-shared-key ascii-text "$9$xnhNwY4aZjk.oa69tu1I7-Vbw2"; ## SECRET-DATA
}
gateway ike-gw-ml {
ike-policy ike-policy;
address 10.10.0.2;
dead-peer-detection {
always-send;
interval 10;
threshold 5;
}
no-nat-traversal;
local-identity inet 10.10.0.1;
external-interface vlan.200;
}
}
ipsec {
traceoptions {
flag all;
}
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm aes-128-cbc;
lifetime-seconds 1800;
}
policy ipsec-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-proposal;
}
vpn ml {
bind-interface st0.0;
ike {
gateway ike-gw-ml;
no-anti-replay;
proxy-identity {
local 10.0.0.1/32;
remote 10.0.0.2/32;
service any;
}
ipsec-policy ipsec-policy;
}
establish-tunnels immediately;
}
С другой стороны микрот, но это КМК не суть важно. Проблема в том, что если я ставлю source интерфейс в untrust - туннель постоянно рассыпается, в логах вроде ничего внятного.
Как только я ставлю source интерфес в траст - туннель работает стабильно.
Чего я недоразрешил?
кто там у тебя наружу смотрит - я нипонял
Сурс интерфейс - vlan.200
Он для тест сделан, в боевом сурс интерейс будет vlan.100. И очень очень сильно не хочется ставить его в траст.
vlan.200 стоит в зоне untrust, в которой разрешено
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
ospf;
}
}
Собственно и не понятно какого МПХ оно то работает то не работает.