Маршрутизация в IPSEC-туннеле

Обсуждение ПО и его настройки
Ответить
DarkSign
Сообщения: 7
Зарегистрирован: 04 янв 2014, 13:23

Добрый день, уважаемые специалисты RouterOS!

Подскажите, пожалуйста, новичку, как решить вот такую проблему:
Имеется центральный офис (ЦО) с RB1100AH2 и несколько филиалов (Ф) с разными маршрутизаторами D-Link, офис и филиалы связаны между собой IPSEC-туннелями. VPN работает, пользователи филиалов могут подключаться к серверу ЦО по RDP и из филиалов сервер пингуется прекрасно. НО: с RB1100AH2 (локальный адрес 192.168.2.1) на маршрутизаторы (локальный адрес 192.168.100.1 и др.) и компы филиалов пинг не проходит, сеть филиалов не видна и это печально, т.к. имеется программа удаленного администрирования LiteManager (порт 5650), которая в настоящий момент не работает.

В Firewall Filter Rules:
1 chain=input action=accept protocol=udp dst-port=500
2 chain=input action=accept protocol=ipsec-esp
3 chain=input action=accept protocol=ipsec-ah

В Firewall NAT - стандартный маскарадинг.

Как добиться пинга с RB1100AH2 на компы филиалов и, соответственно, работы Litemanager?

Спасибо!


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну так полагаю что длинки ваши в сеть за 1100 адреса преобразуют, а микротик же этого не делает.

Но это так предположение ибо из вашего описания мало что понятно


Есть интересная задача и бюджет? http://mikrotik.site
DarkSign
Сообщения: 7
Зарегистрирован: 04 янв 2014, 13:23

Скажите, что мне необходимо добавить в описание проблемы?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

схему, конфиг


Есть интересная задача и бюджет? http://mikrotik.site
DarkSign
Сообщения: 7
Зарегистрирован: 04 янв 2014, 13:23

Схема сети:
1. Центральный офис Mikrotik RB1100AH2:
Внешний статический IP - 77.1.1.1
Локальный адрес - 192.168.2.1, сеть - сервер терминалов и пр.
Интернет от провайдера приходит на ether1, ether2-ether13 объединены в bridgeLAN

2. Филиал D-Link DI-824VUP+:
Внешний статический IP - 78.1.1.1
Локальный адрес - 192.168.130.1, сеть - пользователи, принтеры


Для файрвола указаны правила:
1.Firewall Filter Rules:
0 chain=input action=accept protocol=udp dst-port=500
1 chain=input action=accept protocol=ipsec-esp
2 chain=input action=accept protocol=ipsec-ah
2. NAT Rules:
0 chain=srcnat action=masquerade src-address=192.168.2.0/24 dst-address=192.168.130.0/24 out-interface=Internet (только что добавил - не помогло)
1 chain=srcnat action=masquerade out-interface=Internet

Ситуация:
Из сети филиала 192.168.130.0/24 пинг на Mikrotik офиса 192.168.2.1 проходит, обратно - нет. Пользователи филиала 130.0/24 подключаются к терминальному серверу 192.168.2.110, однако печать на их принтерах невозможна.
Пинг из офиса к филиалу проверял на микротике в терминале, ответ - timeout.
Включаю в офисе вместо микротика старенький Zyxel ZyWall70 - все прекрасно работает, пинги в обе стороны проходят, правил хождения пакетов в туннеле нет.

Догадываюсь, что дело в файрволе, вот только какие правила необходимо прописать?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну если вы считаете что дело в фаерволе то отключите все правила, дальше убедитесь в обратном и почитайте азы маршрутизации


Есть интересная задача и бюджет? http://mikrotik.site
DarkSign
Сообщения: 7
Зарегистрирован: 04 янв 2014, 13:23

Исчерпывающий ответ


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Рекомендую начать с этого мана


DarkSign
Сообщения: 7
Зарегистрирован: 04 янв 2014, 13:23

Спасибо, решилось, забыл DHCP-сервер включить.


Ответить