Доброго времени суток!
Собственно, то, нам чем я бьюсь - описал в названии темы...есть центральный офис (ЦО), есть филиал с микротиком. Между нами поднят IPSec-туннель. Между подсетями все работает отлично, без вопросов. Но мне для мониторинга жизнеспособности микротика хочется настроить его логирование на мой syslog-сервер в ЦО. И тут я обнаруживаю (да-да, когда я всё это настраивал, этот момент не проверял), что с самого роутера я не могу пропинговать IP-адреса ЦО. Из локальной сети за роутером все пингуется на ура и вообще работает отлично. Ни торчем не могу отловить причину, ни в логах ничего. Со стороны ЦО tcpdump тоже ничего не ловит.
WAN - ether1
LAN - brigde1(ether2-ether5)
Вся фильтрация ACLей настроена со стороны ЦО, на микротике же в нате стоит только одно правило для туннелей - акцептить весь трафик до сети ЦО:
/ip firewall nat add action=accept chain=srcnat dst-address-list=CO.local
прошивка и OS после покупки обновлены до последней версии.
Подскажите, в какую сторону копнуть?
Rb750R2 + SiteToSite: нет пинга с самого роутера
-
- Сообщения: 2
- Зарегистрирован: 04 ноя 2016, 14:25
Заработало! Не знаю только, насколько это верное решение в рамках возможностей RouterOS, но помогло следующее: предположив, что роутер банально не знает маршрута, прописал /ip route add distance=1 dst-address=192.168.0.0/24 gateway=eth3, где 192.168.0.0/24 - это подсеть ЦО, а eth3 - интерфейс, куда подключена локальная сеть филиала.
Не знаю всех тонкостей RouterOS, поэтому буду рад, если кто-нибудь предложит иной путь решения.
Не знаю всех тонкостей RouterOS, поэтому буду рад, если кто-нибудь предложит иной путь решения.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
StealeR писал(а):Подскажите, в какую сторону копнуть?
Так как Вы дали мало данных, то вряд ли можно что-либо посоветовать.
В любом случаи напомню общие правила:
для связи/организации/подружить/объединить две сети надо использовать:
а) либо обычную маршрутизацию и прописать сети между собой (маршруты) и т.д.
б) либо получать доступ к одной сети через функционал [NAT/PAT/MASQUERADE] путём подмены исходящих адресов,
на адрес пограничного шлюза нужной нам сети.
У каждого решения есть и + и -, Вы сделали судя по всему по варианту А)