ipsec туннель

Обсуждение ПО и его настройки
Ответить
apbt
Сообщения: 1
Зарегистрирован: 08 окт 2016, 18:18

Доброго времени.
Не могу соединить два микротика в ipsec туннель. Настроил так.

Код: Выделить всё

mik1
 > ip address print                             
 0   192.168.1.1/24     192.168.2.0     ether2                               
 1   x.x.x.x/30             x.x.x.x           ether1
mik2
> ip address print                                   
 0   192.168.2.1/24     192.168.1.0     ether2                                                 
 1 D y.y.y.y/32            y.y.y.y             pppoe-wan
mik1
> ip ipsec policy print
 1     src-address=192.168.1.0/24 src-port=any dst-address=192.168.2.0/24 dst-port=any
       protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
       sa-src-address=x.x.x.x sa-dst-address=y.y.y.y proposal=default priority=0
mik2
> ip ipsec policy print
1     src-address=192.168.2.0/24 src-port=any dst-address=192.168.1.0/24
       dst-port=any protocol=all action=encrypt level=require
       ipsec-protocols=esp tunnel=yes sa-src-address=y.y.y.y
       sa-dst-address=x.x.x.x proposal=default priority=0
mik1
 > ip ipsec peer print
Flags: X - disabled, D - dynamic
 0    address=y.y.y.y/32 local-address=:: passive=no port=500 auth-method=pre-shared-key
      secret="test" generate-policy=no policy-template-group=group1 exchange-mode=main
      send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1
      enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m
      dpd-maximum-failures=5
mik2
> ip ipsec peer print
Flags: X - disabled, D - dynamic
 0    address=x.x.x.x/32 local-address=:: passive=no port=500
      auth-method=pre-shared-key secret="test" generate-policy=no
      policy-template-group=default exchange-mode=main send-initial-contact=yes
      nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des
      dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
mik1
> ip firewall nat print
 0    chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24 log=no
      log-prefix=""
mik2
 > ip firewall nat print
 0    chain=srcnat action=accept src-address=192.168.2.0/24 dst-address=192.168.1.0/24
      log=no log-prefix=""

Proposal одинаков на обоих устройствах. Удаленные пиры появляются.
С mik1 могу пинговать сеть за mik2 . С mik2 не могу пинговать внутренний интерфейс mik1 не саму сеть за mik1.
В чем моя ошибка, или куда мне копать. Спасибо


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Может в бридже включить proxy-arp?


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36



Ответить