помогите пожалуйста запихать пакет в IpSec-тунель

Обсуждение оборудования и его настройки
Ответить
gleb
Сообщения: 11
Зарегистрирован: 28 июн 2013, 11:04

Здравствуйте
в Mikrotik'е ковыряюсь около недели
MikroTik RouterBOARD 750UP
версия 5.25
4 дня из этой недели пытаюсь запихнуть трафик между 2-мя сетями в IpSec-тунель
делал по [url=http://www.микротик.рф/document/statii/obedinyaem_ofisy_s_pomoshchyu_mikrotik/]Этому[/url] мануалу
в общем виде я понял этот мануал так
/ip firewall nat add chain=srcnat src-address=<моя сеть/macka> dst-address=<удаленная сеть/macka> out-interface=<мой внешний интерфейс> action=masquerade
/ip ipsec policy add src-address=<моя сеть/macka> dst-address=<удаленная сеть/macka> action=encrypt tunnel=yes sa-src-address=<мой внешний IP> sa-dst-address=<удаленный внешний IP>
/ip ipsec peer add address=<удаленный внешний IP> exchange-mode=aggressive secret=<ключ>
на второй стороне делается аналогично

Тунель у меня похоже поднимается
судя по логам и по тому что
1. на обеих концах появляется по 2 ключа (свой и переданный с удаленного узла)
2. на каждой стороне появляется Remote Peer
но вот строка "/ip firewall nat add chain=srcnat ..." похоже не работает

судя по статистике IpSec'а, входящие счетчики нулевые, исходящие кроме No States тоже

создается впечатление что мне неудается направит пакеты через IpSec
IpSec не создает виртуального интерфейса. может он и не должен. но тогда как по другому?

подскажите пожалуйста как сказать "пакеты из <сеть/маска> в <сеть/маска> отправляй через IpSec" ?

заранее благодарен


DIA-Eclipse
Сообщения: 9
Зарегистрирован: 29 май 2013, 10:16

Тут кто то уже поднимал такую тему...надо поднять виртуальный канал поверх IPSec, тогда вродь все начинает работать.


Ответить