OZ分享-吉家大宝官方博客IPSec 的两种工作模式:隧道(ip tunnel)模式和传输(ip transport)模式。简单的来说,隧道模式用于网关和网关之间的点对点连接;传输模式用于网关和电脑之间的点对点连接。具体的请自行百度。
本教程主要是RouterOS(以下简称ROS)通过IPsec隧道模式(IP tunnel)实现点对点互连。
一、网络拓扑
以下是一个使用 ROS实现IPsec点对点互连的案例。
网络拓扑:PC1(10.0.0.100) --- (10.0.0.1)R1(121.236.80.94) --- 互联网 --- (117.62.85.3)R2(192.168.88.1)---(192.168.88.254)PC2
二、R1路由器设置
1、IP tunnel设置:Winbox --> Interface,IP Tunnel选项卡,点击+
Remote Address填入R2外网ip地址,如117.62.85.3,点击OK
2、Winbox --> IP --> Firewall,NAT选项卡,点击+
Chain选择srcnat
Src. Address填入R1内网网段,如案列中R1的内网网段10.0.0.0/23
Dst. Address填入R2内网网段,如案列中R2的内网网段192.168.88.0/24
切换到Action选项卡,action选择accept,点击OK
注意:该条规则要在masquerade规则的上面
3、Winbox --> IP --> Firewall,NAT选项卡,修改上网的masquerade规则
Chain还是srcnat
Src. Address填入R1的内网网段,如案列中R1的内网网段10.0.0.0/23
切换到Action选项卡,action还是选择masquerade,点击OK
4、添加路由表,Winbox --> IP --> Routes,点击+
Dst. Address填入R2的内网ip网段,如192.168.88.0/24
Gateway选择刚才创建额ipip-tunnel1,点击OK
三、R2路由器设置
1、IP tunnel设置:Winbox --> Interface,IP Tunnel选项卡,点击+
Remote Address填入R1外网ip地址,如121.236.80.94,点击OK
2、Winbox --> IP --> Firewall,NAT选项卡,点击+
Chain选择srcnat
Src. Address填入R2内网网段,如案列中R2的内网网段192.168.88.0/24
Dst. Address填入R1内网网段,如案列中R1的内网网段10.0.0.0/23
切换到Action选项卡,action选择accept,点击OK
注意:该条规则要在masquerade规则的上面
3、Winbox --> IP --> Firewall,NAT选项卡,修改上网的masquerade规则
Chain还是srcnat
Src. Address填入R1的内网网段,如案列中R1的内网网段192.188.88.0/24
切换到Action选项卡,action还是选择masquerade,点击OK
4、添加路由表,Winbox --> IP --> Routes,点击+
Dst. Address填入R1的内网ip网段,如10.0.0.0/23
Gateway选择刚才创建额ipip-tunnel1,点击OK
四、互通测试 Ping
至此,2个ROS已经通过IP Tunnel互通了,内网电脑可以互访了。
未经允许不得转载:OZ分享-吉家大宝官方博客 » RouterOS基于IPsec隧道实现局域网互访