Интернет через ipsec site-to-site

Обсуждение ОС и пр.
dima1208
Сообщения: 20
Зарегистрирован: 18 ноя 2016, 11:18

Интернет через ipsec site-to-site

Сообщение dima1208 » 09 янв 2017, 15:18

Добрый вечер.

Имеется такая схема:
1. Дома микротик А, провайдер один
2. На работе микротик Б, провайдер другой

Между ними поднят site-to-site ipsec туннель. С обоих концов все пингуется.

Дома отключили интерент за неуплату, то есть при попытке открыть любую страницу вижу грустный смайлик от провайдера. Но туннель все то работает, пингуется сеть на работе, захожу по рдп спокойно и т.д.

Каким образом можно сделать чтобы "интернет дома заработал через работу"? )))
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1506
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Интернет через ipsec site-to-site

Сообщение Dragon_Knight » 09 янв 2017, 15:37

Добавить маршрут, который укажет выход в мир через туннель. + dns сервер оттуда-же.

Помощь в ремонте настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
dima1208
Сообщения: 20
Зарегистрирован: 18 ноя 2016, 11:18

Re: Интернет через ipsec site-to-site

Сообщение dima1208 » 09 янв 2017, 18:34

добавляю маршрут 0.0.0.0/0 шлюз 192,168,0,1 (микротик на работе) - пишет unreachable, хотя пингуется
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1506
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Интернет через ipsec site-to-site

Сообщение Dragon_Knight » 09 янв 2017, 18:50

Список всех маршрутов в студию.

Помощь в ремонте настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
KARaS'b
Сообщения: 445
Зарегистрирован: 29 сен 2011, 09:16

Re: Интернет через ipsec site-to-site

Сообщение KARaS'b » 09 янв 2017, 18:54

"не правильно ты Дядя Федор буртерброд ешь..." (с) Нельзя в маршруте указать сразу конечный адрес, нужно указывать ближайший хост, а дальше оно само по цепочке.
Пример:
Усройство А: 192.168.1.1/24
Устройство Б: 192.168.2.1/24
Между ними туннель, в этом туннеле устройство А имеет адрес 192.168.0.1, а устройство Б - 192.168.0.2
Маршрут из сети А в сеть Б будет выглядеть так - add distance=1 dst-address=192.168.2.0/24 gateway=192.168.0.2
Маршрут из сети Б в сеть А будет выглядеть так - add distance=1 dst-address=192.168.1.0/24 gateway=192.168.0.1
Основной маршрут, для доступа в интернет из сети А в сеть Б так - add distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.2
dima1208
Сообщения: 20
Зарегистрирован: 18 ноя 2016, 11:18

Re: Интернет через ipsec site-to-site

Сообщение dima1208 » 09 янв 2017, 20:26

 ip route print

Код: Выделить всё

 0 ADS  0.0.0.0/0                                      xxx.yyy.250.5           0   //
 1 ADS  xxx.yyy.250.0/24                          eth1-WAN                  0
 2 ADC  xxx.yyy.250.5/32   внешнийIP       eth1-WAN                  0
 6 ADC  192.168.11.0/24    192.168.11.1    bridge-local             0  //домашняя подсеть


 ip ipsec policy print

Код: Выделить всё

src-address=192.168.11.0/24 src-port=any dst-address=192.168.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=домашнийWAN-IP
sa-dst-address=на-работе-WAN-IP proposal=new priority=0


на работе тоже самое только наоборот.

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость