gre – acm's blog https://blog.acm.idv.tw 技術與生活隨筆 Sat, 15 Jun 2024 02:59:03 +0000 zh-TW hourly 1 https://wordpress.org/?v=6.8 https://blog.acm.idv.tw/wp-content/uploads/2022/06/cropped-logo_kaffa9-3-32x32.png gre – acm's blog https://blog.acm.idv.tw 32 32 詭異的RouterOS v6更新後IPSec連線建立失敗問題 https://blog.acm.idv.tw/2024/06/15/%e8%a9%ad%e7%95%b0%e7%9a%84routeros-v6%e6%9b%b4%e6%96%b0%e5%be%8cipsec%e9%80%a3%e7%b7%9a%e5%bb%ba%e7%ab%8b%e5%a4%b1%e6%95%97%e5%95%8f%e9%a1%8c/ https://blog.acm.idv.tw/2024/06/15/%e8%a9%ad%e7%95%b0%e7%9a%84routeros-v6%e6%9b%b4%e6%96%b0%e5%be%8cipsec%e9%80%a3%e7%b7%9a%e5%bb%ba%e7%ab%8b%e5%a4%b1%e6%95%97%e5%95%8f%e9%a1%8c/#comments Sat, 15 Jun 2024 02:59:03 +0000 https://blog.cislab.cc/?p=837 Read More Read More

]]> 今天心血來潮,檢查了MikroTik RouterOS v6是否有新版本,發現4月釋出了v6.49.15版,都過了這麼久,也許算是穩定版了,便著手進行系統升版(設備版本為v6.49.11)。

A地更新完後,也許是DDNS更新還需要點時間,IPSec連線無法馬上建立,手動在/ip cloud進行DDNS的強制更新後 (force update),便成功建立IPSec連線與GRE tunnel。

確定上網正常後,便開始進行B地更新(遠端),詎料等待了10分鐘,IPSec連線仍無法建立。使用nslookup檢查了B地的DDNS域名設定,發現也早已更新完成,便使用米家app確認B地米家攝影機是否正常,發現可以正常觀看,表示B地Internet連線沒有問題,只好透過Cloudflare Tunnel連上B地伺服器,再跳到MikroTik設備裡看看有什麼端倪。

確定IPSec設定無誤,手動kill connection也沒效,重新連線,A、B兩端始終都會停在no phase 2的階段,IPSec handshake無法順利完成。於是心生一計,到GRE tunnel設定頁面,將A、B兩端的IPSec secret重新設定一次,沒想到一切都正常了(???)太神奇了,傑克!

]]> https://blog.acm.idv.tw/2024/06/15/%e8%a9%ad%e7%95%b0%e7%9a%84routeros-v6%e6%9b%b4%e6%96%b0%e5%be%8cipsec%e9%80%a3%e7%b7%9a%e5%bb%ba%e7%ab%8b%e5%a4%b1%e6%95%97%e5%95%8f%e9%a1%8c/feed/ 1 RouterOS v6經由GRE Tunnel路由至目的地 https://blog.acm.idv.tw/2024/01/13/routeros-v6%e7%b6%93%e7%94%b1gre-tunnel%e8%b7%af%e7%94%b1%e8%87%b3%e7%9b%ae%e7%9a%84%e5%9c%b0/ https://blog.acm.idv.tw/2024/01/13/routeros-v6%e7%b6%93%e7%94%b1gre-tunnel%e8%b7%af%e7%94%b1%e8%87%b3%e7%9b%ae%e7%9a%84%e5%9c%b0/#respond Sat, 13 Jan 2024 08:10:33 +0000 https://blog.kaffa9.com/?p=812 若A、B兩地之間已建立GRE Tunnel,且A地想經由B地再路由到某地(例如Internet),可進行以下設定:

  1. 新增路由表
    在IP選項的Routes子選項的Routes頁籤,新增一筆,Dst. address可填0.0.0.0/0、Gateway填寫gre-tunnel1、Routing Mark填寫想要的名稱,例如:Route-to-SiteB
  2. 新增路由規則
    在IP選項的Routes子選項的Rules頁籤,新增一筆,Src. address填寫本地端的某設備IP、Dst. address填寫0.0.0.0/0,table填寫Route-to-SiteB,action填寫lookup

即設定完成!

]]> https://blog.acm.idv.tw/2024/01/13/routeros-v6%e7%b6%93%e7%94%b1gre-tunnel%e8%b7%af%e7%94%b1%e8%87%b3%e7%9b%ae%e7%9a%84%e5%9c%b0/feed/ 0 RouterOS在二地之間建立GRE tunnel over IPSec https://blog.acm.idv.tw/2024/01/13/routeros%e5%9c%a8%e4%ba%8c%e5%9c%b0%e4%b9%8b%e9%96%93%e5%bb%ba%e7%ab%8bgre-tunnel-over-ipsec/ https://blog.acm.idv.tw/2024/01/13/routeros%e5%9c%a8%e4%ba%8c%e5%9c%b0%e4%b9%8b%e9%96%93%e5%bb%ba%e7%ab%8bgre-tunnel-over-ipsec/#respond Sat, 13 Jan 2024 08:03:15 +0000 https://blog.kaffa9.com/?p=810 Read More Read More

]]> 原本在二個住處間建立了IPSec tunnel,使兩地之間的設備可以互相通訊,例如讓B地的小米攝影機能將影像檔上拋至A地的SAMBA伺服器。前一陣子,又有了策略路由需求,例如讓A地某設備經由B地再路由到Internet,但剛好一地是EdgeRouter-X,一地是MikroTik RB750Gr3,被設定搞得很頭疼。恰好雙十一時又淘了一台RB750Gr3回來,本來是要當備用機的,趁著元旦連假有空,便把EdgeRouter-X換成RB750Gr3。如此一來,兩地都是MikroTik設備,RouterOS的設定變得輕鬆許多。

為了滿足前述的PBR (policy-based routing)需求,爬了不少文章,最後決定採用GRE tunnel over IPSec,在此將設定方式簡單做一下筆記:

  1. 建立GRE Tunnel
    在Interfaces選項的GRE Tunnel頁籤,新增一個GRE tunnel,填寫Name、Remote Address、IPSec Secret、取消Allow Fast Path
  2. 為GRE Tunnel介面(例:gre-tunnel1)設定IP位址
    在IP選項的Addresses子選項新增IP,填寫Address和Interfaces。記得兩地的address要錯開,但是必須是同一個網段,例如可以各別填寫172.16.0.1/24和172.16.0.2/24
  3. 建立路由規則
    針對A地RouterOS,可設定往B地網段的閘道為GRE tunnel介面,如gre-tunnel1
  4. 建立NAT規則
    可在srcnat表建立A地網段到B地網段的accept規則

註:只要兩地都填寫一樣的IPSec Secret且IPSec profile有共同的加密和雜湊演算法,RouterOS即可自動建立IPSec Tunnel,不必自己額外進行IPSec設定。

]]> https://blog.acm.idv.tw/2024/01/13/routeros%e5%9c%a8%e4%ba%8c%e5%9c%b0%e4%b9%8b%e9%96%93%e5%bb%ba%e7%ab%8bgre-tunnel-over-ipsec/feed/ 0