Hej allihop,
Jag integrerar OPNsense-boxar i ett scenario där jag har ett nät av tunnlar byggda med GRE/IPSec, konfigurerade varandra med /30-adresser och kör RIPv2 över dem för att ta hand om routingen.
Jag tycker att detta är det mest skalbara sättet att gå, ganska enkelt att konfigurera till exempel i Mikrotik, där du bara skapar tunneln GRE, specificerar en försharead nyckel, och det hanterar all IPSec under.
Men, på OPNsense har jag kunnat skapa GRE-tunnlar, men hittar inget enkelt sätt att garantera att trafiken är krypterad. Stöder det ens IPsec transportläge?
Jag har övervägt att byta till OpenVPN eller Wireguard, men jag har funnit att i någon av dessa lösningar kan du inte låta ett routingsprotokoll ta hand om routingen, och du måste underhålla din routningsplan manuellt.
Så, någon hjälp eller idé om detta? Jag är relativt ny på OPNsense och känner mig lite besviken på dess VPN- och routing-förmågor, även med FRR-pluginet installerat.
Tack så mycket!
Uppdatering: Jag ser att det finns möjlighet att använda IPSec VTI-tunnlar i OPNsense, vilket skulle göra jobbet. Men detta stöds inte av Mikrotik, som har gått samma väg som med GRE/IPSec.
Så min fråga skulle omformuleras till: finns det något motsvarande alternativ som stöds av båda boxarna (min huvudsakliga scenariot)?
Du skapar ett loopback-gränssnitt på OPNsense och använder en policy-baserad IPsec-tunnel för att koppla det gränssnittet till routern på andra sidan, helst också ett loopback-gränssnitt. Sedan skapar du GRE-tunneln med dessa loopback-gränssnitt som yttre tunnel-IP.
På så sätt behöver du inte IPSec VTI eller transportläge.
Jag är inte bekant med Mikrotik, men den allmänna implementeringen av GRE+IPSec är att sätta upp en GRE-tunnel och köra IPSec ovanpå den tunneln. Borde inte Mikrotik vara samma?
FRR dynamisk routing borde också fungera på WG-tunnlar, jag har provat det tidigare med OSPF och det fungerar, jag har inte testat det med RIP dock.
Tack Monviech för idén, jag ska prova det! En annan metod för att säkerställa att GRE är krypterad, vilket är min föredragna metod.
Jag funderade också på OpenVPN, men ogillar dess konstiga användning av routning. För att kunna prata med MT behöver du servern i den äldre versionen, och klientövertiden med den verkar lite buggig (olika IP:er visas i OVPN och huvud-routningstabellerna).
Det skapar en GRE-tunnel och krypterar den sedan med IPSec i transportläge, inte tunnelläge. Så jag skulle kalla det IPSec “under” tunneln, snarare än “på” den.
Tack Mokkori för idén, har inte använt WG ännu på MT. Det verkade som att det också är baserat på policyskyddad kryptering, skönt att veta att du kan lägga till routning.